哎，都是8年前的題目了，感覺自己進展好慢。

看解釋原理也不復雜，就是MD5()函式中引數為true時，輸出形式為原始二進位制格式，如果，找到一個字串MD5後得到的原始二進位制格式在SQL中拼接成 類似 ‘or ‘1xxx的形式就可以繞過了.文章中作者寫指令碼找到了一個字串ffifdyop滿足了我們的要求。php手冊對MD5()的介紹.

但是我還是有些疑惑，什麼叫原始二進位制格式？

先說說MD5的加密結果，百度百科上解釋的：演算法的輸出由四個32位分組組成，將這四個32位分組級聯後將生成一個128位雜湊值。

也就是說MD5的輸出結果應該是一個類似128位的01組成的值，不過我們平時將這個值以16進位制的字串格式輸出。注意是字串格式，也就是說在儲存時不是那個128位的雜湊值，而是將它轉換成字面值輸出。就比如數字1儲存在計算機裡儲存為00110001，但是這個00110001換算成十進位制並不是1。這就是字面值和儲存在計算裡的值的不同。

那麼PHP中的MD5(xxx,true)和MD5(xxx,false)到底有什麼不同。

第一個輸出的就是我們平時所看到的MD5計算後的值，32位，那第二個是什麼呢？

官方解釋是原始的二進位制格式的結果，是128位的01程式碼，其實再轉換成16進位制，就是32位，就是前面那個32位的字串，我們來驗證一下：

將那串32位16進位制數複製，開啟HXD，新建檔案，貼上寫入，看看效果：

可以看到當這串16進位制數以檔案的原始格式儲存時，就是後面那串’or’….

所以這道題目利用的是MD5(引數為true)的結果是原始二進位制格式，會再進行編碼，就會得到可以注入的字串，帶入到sql語句中完成繞過。而引數為false時得到的是二進位制格式的字面值值，本身就是字串，不會再進行編碼，帶入sql語句的就是那串16進位制字串，不會再編碼成其他形式。

不過我也是有些疑問，就是具體採用的哪種編碼轉換的，大部分編碼都相容ASCII碼，所以用不同的編碼基本上都可看到’or’這些部分，畢竟是對照ASCII碼轉換的，不過其他部分就是用不同的編碼不同格式：

另外這個16進位制轉字元用的是怎樣的格式，難道是ASCII碼碼：

編碼這裡確實不是很懂，誰瞭解的話幫我一下。

轉載指明出處