1.#-- (有个空格)表示注释,可以使它们后面的语句不被执行。在url中,如果是get请求**(记住是get请求,也就是我们在浏览器中输入的url)** ,解释执行的时候,url中#号是用来指导浏览器动作的,对服务器端无用。所以,HTTP请求中不包括#,因此使用#闭合无法注释,会报错;而使用-- (有个空格),在传输过程中空格会被忽略,同样导致无法注释,所以在get请求传参注入时才会使用--+的方式来闭合,因为+会被解释成空格。

2.当然,也可以使用--%20,把空格转换为urlencode编码格式,也不会报错。同理把#变成%23,也不报错。

3.如果是post请求,则可以直接使用#来进行闭合。常见的就是表单注入,如我们在后台登录框中进行注入。

4.为什么--后面必须要有空格,而#后面就不需要?
因为使用--注释时,需要使用空格,才能形成有效的sql语句,而#后面可以有空格,也可以没有,sql就是这么规定的,记住就行了。
因为不加空格,--直接和系统自动生成的单引号连接在了一起,会被认为是一个关键词,无法注释掉系统自动生成的单引号。

现在,已经理解了注入时闭合的基本原理,就可以开始注入了。
学习sql注入,了解成因,提高防护能力,遵纪守法!

SQL注入中,注释#、 --+、 --%20、 %23到底是什么意思?sqli-labs-master相关推荐

  1. Dnslog在SQL注入中的利用

    参考文献:www.anquanke.com/post/id/98096 https://bbs.pediy.com/thread-223881.htm DNSlog在Web攻击的利用 在某些无法直接利 ...

  2. 【SQL注入】 sql注入中的union和limt关键字的使用解析

    [SQL注入] sql注入中的union和limt关键字的使用解析 我将用测试靶场做演示,拿下网站数据库来向你展示sql注入全过程和思路 一.首先要找到注入点 [http://rhiq8003.ia. ...

  3. sql注入中的--+注释问题探索

    在sql-labs游戏中,经常使用--+放在最后注释多余部分,而mysql中的注释符为#和-- 却不能直接使用,以前没学过mysql,一直不理解,也不知道+号的作用,今天有时间特地探索了一下,算是搞明 ...

  4. sql注入中的联合注入

    联合注入 联合注入顾名思义,就是使用联合查询进行注入的一种方式,是一种高效的注入的方式,适用于有回显同时数据库软件版本是5.0以上的MYSQL数据库.至于为什么需要版本是5.0以上的MYSQL数据库, ...

  5. 关于sql注入中的 --+

    --+ sql注入过程中我们经常会碰到 --+这个东西,刚学习的小伙伴可能会对此有疑问,现在就来看看这个--+是一个什么东西. 其实 --在sql语句中起着注释的作用,将后面的语句注释掉,+ 则代表空 ...

  6. dnslog 在 sql注入中的应用

    目录 1.DNSLOG的原理 2.Dnslog在常见数据库中SQL注入的实战 1.MySQL 2.msSQL 3.postgreSQL 4.Oracle 3.总结 1.DNSLOG的原理 DNS的解析 ...

  7. sql注入中的union select 1,2,3....

    在sql注入联合查询中,我们会碰到union select 1,2,3.那这个是什么意思了,首先先看下union select union select 用来合并两个或多个 SELECT 语句的结果集 ...

  8. Oracle sql脚本中注释

    SQL脚本和SHELL脚本中的一些写法还是不同的. 1.rem表示注释,remark的缩写.而SHELL脚本中用# 2.prompt表示打印,是sqlplus命令,显示 prompt 命令后的内容,单 ...

  9. 在SQL注入中对闭合符号的判断

    前言 最近在做sqli-labs靶场练习,前面做了三十多道了,作为菜鸡的我才发现闭合符号的一些判断操作的猫腻,这里分享一下经验,避免踩坑. 有错误或者总结不到位的地方求小伙伴们指出. 目录 操作 分析 ...

最新文章

  1. WebSocket API简介
  2. 13.2.6 会话跟踪技术
  3. TimerTask定时任务
  4. 解决Django静态文件配置pycharm高光问题
  5. Windows 8.1 升级到专业版
  6. mysql隔离性和线性隔离_MySQL--事务,隔离性和隔离级别
  7. 在Mac OS X中使用VIM开发STM32(3)
  8. C++ string字符串修改和替换方法
  9. c语言贪吃蛇(简易版本含完整代码)
  10. 3D 语义分割、目标检测、实例分割是什么神仙操作?TF 3D 技术让你一目了然
  11. UI自动化测试如何生成HTML报告
  12. 如何优雅的给你的APK文件打上签名
  13. 关系数据库标准语言SQL——详解版2
  14. Hadoop MapReduce实现人员二度关系运算
  15. python查看微信撤回消息_python轻松实现查看微信撤回消息代码实例
  16. P7456 [CERC2018] The ABCD Murderer (ac自动机+线段树优化dp/反向st)
  17. 分布式原理:一文了解 Gossip 协议
  18. 使用ADB 查看模拟器得日志,unity得日志 以及保存
  19. 关于Gson对日期的格式化
  20. 中国数学家黄金一代-北大数学专业2000级

热门文章

  1. unity 编辑器窗口 批量修改文件名字
  2. 如何移植 Arx/ Dbx 模块为 Crx/DBX 模块来支持 AutoCAD 易(值得一看)
  3. 发送邮件(用代码模拟邮箱服务器发送邮件)
  4. Comparable Comparator的区别
  5. linux中怎样结束进程,linux怎么样终止进程
  6. 关于ruoyi验证码无法显示的问题
  7. Java图片转换为PDF并合成同一PDF
  8. SSD固态硬盘能否恢复--争议
  9. 汽车行业消费者洞察|车载屏幕是否越大越多就越好?
  10. 解决操作无法完成,因为其中的文件夹或文件已在另一程序中打开的问题