如果黑客将blog_charset更改为UTF-7，是否会使WordPress易受进一步攻击？

Question

我有个客户最近被黑了，我注意到她的网站上出现了一些奇怪的人物，比如和艾尔。事实证明，黑客将数据库中的blog_charset更改为wp_options表中的UTF-7。我将其设置为UTF-8，但我想知道在将其设置为UTF-7期间，是否会产生任何安全漏洞？

我做了一些搜索，发现曾经有一个版本2.0.6中修复的WordPress UTF-7漏洞。我们正在运行最新版本的WordPress，所以他们不可能使用该漏洞，但是还有其他与UTF-7相关的漏洞吗？真的，除了让黑客感到痛苦之外，还有什么理由让黑客改变blog_charset呢？我一直在试图确定他们是怎么进来的，我想知道这是否有某种联系。

Answer 1

<和>在乌特夫-7中被编码为+ADw-和+AD4-。现在设想以下情况：

1. 有人将+ADw-script+AD4-alert(+ACI-Hello+ACI-)+ADw-/script+AD4-作为评论文本发送。它将通过所有的卫生设施，没有逃脱。
2. 数据库期望并将所有传入数据作为UTF-8处理。由于所有UTF-7流也都是有效的UTF-8，这将不会导致SQL错误，而且mysql_real_escape或htmlspecialchars也不会触及它。
3. WordPress发送一个标头text/html;charset=utf-7。
4. WordPress显示注释，期待转义数据。但是，由于浏览器将其视为UTF-7，所以将执行JavaScript。

所以，是的，这是一个安全问题。

并非所有浏览器都支持UTF-7，大多数浏览器将文本呈现为Windows1252(或其操作系统上的默认编码)或UTF-8。主要的问题是:逃跑不再起作用了。

仅仅将编码值更改回不是一个解决方案。一个常客永远不会改变它，所以你必须找到打开的门。

Answer 2

此外，还可能需要它(重新转换表的所有编码)：https://stackoverflow.com/questions/6115612/how-to-convert-an-entire-mysql-database-characterset-and-collation-to-utf-8