如何处理SQL语句中的HEX编码注入绕过_对输入流进行16进制检测

HEX编码绕过：当十六进制字面量成为SQL注入的“隐身衣”

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

在安全对抗的战场上，攻击者的手法总是层出不穷。其中，利用十六进制（HEX）编码绕过传统的关键字和符号过滤，已经成为一种相当经典且有效的SQL注入手段。这背后的原理并不复杂，但防御起来却需要格外细致的考量。

HEX编码在SQL注入中怎么被用来绕过过滤

最直接的玩法，就是用 0x61646D696E 这样的十六进制字面量，直接替换掉原本的字符串 'admin'。想想看，当Web应用防火墙（WAF）或者应用层代码正紧盯着单引号、双引号或者“admin”这类敏感词时，一串纯粹的十六进制数字看起来就“清白”多了。它不包含任何被拦截的字符，而像MySQL这样的数据库，会原生地将这串数字解析为对应的字节序列。所以，WHERE username=0x61646D696E 和 WHERE username='admin' 这两条语句，最终的执行效果可以说是一模一样。

不过，这里有个重要的前提：这种绕过方式高度依赖于数据库本身是否支持十六进制字面量语法。MySQL和PostgreSQL对此是“开箱即用”的；SQLite则需要开启特定的 hex 模式；而在SQL Server里，0x... 通常表示二进制数据，不能直接用于字符串比较，往往需要配合 CONVERT 这类函数来曲线救国。

• 常见绕过场景：当引号被全局过滤，或者像 database() 这样的函数名被拦截，但字段值仍然可控时，HEX编码就有了用武之地。
• 典型payload示例：id=1' AND (SELECT table_name FROM information_schema.tables WHERE table_schema=database() LIMIT 0,1)=0x7573657273 --+
• 一个关键细节：HEX字符串的长度必须是偶数，否则MySQL会直接抛出一个 Incorrect hexadecimal value 错误。

为什么单纯检测 0x[0-9a-fA-F]+ 不够用

很多初级的防御方案会想到用正则表达式，比如 0x[0-9a-fA-F]+，来匹配所有疑似HEX编码的字符串。想法不错，但现实是，攻击者有太多办法能让这层检测形同虚设。

• 大小写混用：0X61646D696E（注意，MySQL是允许大写 X 的）。
• 中间插入干扰：比如在十六进制数字中插入注释 0x61/**/646D696E，或者换行符 0x61%0a646D696E，就能轻松打乱简单的正则匹配。
• 函数包裹：直接不用 0x 前缀，改用 UNHEX('61646D696E') 或者 CONV(61646D696E,16,10) 这样的函数来达到同样目的。
• 字符串拼接：CONCAT(0x6164,0x6D696E) 这种分而治之的策略，也能有效绕过对完整HEX串的检测。

更棘手的情况是，0x 这个前缀本身可能被WAF误判为无害的普通字符而放行，真正的风险其实隐藏在后面那串可执行的十六进制内容里。这就好比只检查了信封，却忽略了信纸上的密文。

输入流里怎么有效识别可疑HEX编码

所以，防御的核心思路不应该仅仅是“寻找 0x 前缀”，而应该聚焦于“判断这段数据是否会被数据库解释为字符串”。一个更可靠的方案是进行分层检测：

• 第一层（语法层扫描）：使用更全面的正则模式，尽可能提取所有疑似HEX字面量的变体。这包括但不限于 0x[0-9a-fA-F]{2,}、0X[0-9a-fA-F]{2,}，以及像 UNHEX\([^)]+\)、CONV\([^)]+\) 这类函数调用模式。
• 第二层（语义层校验）：对提取出来的内容进行深度分析。检查其长度是否为偶数；验证字符集是否严格限定在 0-9a-fA-F 范围内；尝试对其进行解码（例如用Python的 bytes.fromhex("61646D696E")），看是否会抛出异常。
• 一个高危信号：如果发现 0x 后面紧跟的十六进制解码后是ASCII控制字符，比如 0x27（单引号）、0x3B（分号）、0x3D（等号）或 0x20（空格），那么这几乎可以断定是恶意的构造企图。

真实环境中容易忽略的边界点

即便部署了HEX检测规则，在实际的复杂环境中，仍有几个边界点容易被忽略，从而留下防御死角：

• 中间件的“好意”：请求参数可能是 ?id=0x61646D696E，但像Nginx、Spring这类中间件或框架，可能在请求到达后端业务逻辑之前，就已经自动完成了URL解码。后端收到的已经是原始的字节流，如果检测逻辑只扫描最原始的HTTP请求体，就会完全失效。
• JSON体内的“伪装”：在POST请求的JSON体中，如 {"username":"0x61646D696E"}，这个字符串值只有在经过JSON解析器之后才会暴露出来。因此，检测点必须设在反序列化之后、SQL语句拼接之前这个关键环节。
• 数据库版本的差异：MySQL 8.0及以上版本支持在 0x 后跟奇数长度的十六进制数（会自动补零），但旧版本会直接报错。这意味着，不能单纯依靠“是否引发数据库错误”来判断一个HEX串是否合法。

说到底，最稳妥的防御策略，是在进行参数绑定或SQL拼接之前，就对所有输入值做一次统一的“HEX字符串还原与白名单字符检查”。这比单纯依赖静态的模式匹配，要可靠得多。毕竟，安全防御的本质，就是比攻击者想得更深一层。