SQL注入中,注释#、 --+、 --%20、 %23到底是什么意思?sqli-labs-master
1.#
和 --
(有个空格)表示注释,可以使它们后面的语句不被执行。在url中,如果是get请求**(记住是get请求,也就是我们在浏览器中输入的url)** ,解释执行的时候,url中#
号是用来指导浏览器动作的,对服务器端无用。所以,HTTP请求中不包括#
,因此使用#
闭合无法注释,会报错;而使用--
(有个空格),在传输过程中空格会被忽略,同样导致无法注释,所以在get请求传参注入时才会使用--+
的方式来闭合,因为+
会被解释成空格。
2.当然,也可以使用--%20
,把空格转换为urlencode编码格式,也不会报错。同理把#变成%23,也不报错。
3.如果是post请求,则可以直接使用#来进行闭合。常见的就是表单注入,如我们在后台登录框中进行注入。
4.为什么--
后面必须要有空格,而#
后面就不需要?
因为使用--
注释时,需要使用空格,才能形成有效的sql语句,而#
后面可以有空格,也可以没有,sql就是这么规定的,记住就行了。
因为不加空格,--
直接和系统自动生成的单引号连接在了一起,会被认为是一个关键词,无法注释掉系统自动生成的单引号。
现在,已经理解了注入时闭合的基本原理,就可以开始注入了。
学习sql注入,了解成因,提高防护能力,遵纪守法!
SQL注入中,注释#、 --+、 --%20、 %23到底是什么意思?sqli-labs-master相关推荐
- Dnslog在SQL注入中的利用
参考文献:www.anquanke.com/post/id/98096 https://bbs.pediy.com/thread-223881.htm DNSlog在Web攻击的利用 在某些无法直接利 ...
- 【SQL注入】 sql注入中的union和limt关键字的使用解析
[SQL注入] sql注入中的union和limt关键字的使用解析 我将用测试靶场做演示,拿下网站数据库来向你展示sql注入全过程和思路 一.首先要找到注入点 [http://rhiq8003.ia. ...
- sql注入中的--+注释问题探索
在sql-labs游戏中,经常使用--+放在最后注释多余部分,而mysql中的注释符为#和-- 却不能直接使用,以前没学过mysql,一直不理解,也不知道+号的作用,今天有时间特地探索了一下,算是搞明 ...
- sql注入中的联合注入
联合注入 联合注入顾名思义,就是使用联合查询进行注入的一种方式,是一种高效的注入的方式,适用于有回显同时数据库软件版本是5.0以上的MYSQL数据库.至于为什么需要版本是5.0以上的MYSQL数据库, ...
- 关于sql注入中的 --+
--+ sql注入过程中我们经常会碰到 --+这个东西,刚学习的小伙伴可能会对此有疑问,现在就来看看这个--+是一个什么东西. 其实 --在sql语句中起着注释的作用,将后面的语句注释掉,+ 则代表空 ...
- dnslog 在 sql注入中的应用
目录 1.DNSLOG的原理 2.Dnslog在常见数据库中SQL注入的实战 1.MySQL 2.msSQL 3.postgreSQL 4.Oracle 3.总结 1.DNSLOG的原理 DNS的解析 ...
- sql注入中的union select 1,2,3....
在sql注入联合查询中,我们会碰到union select 1,2,3.那这个是什么意思了,首先先看下union select union select 用来合并两个或多个 SELECT 语句的结果集 ...
- Oracle sql脚本中注释
SQL脚本和SHELL脚本中的一些写法还是不同的. 1.rem表示注释,remark的缩写.而SHELL脚本中用# 2.prompt表示打印,是sqlplus命令,显示 prompt 命令后的内容,单 ...
- 在SQL注入中对闭合符号的判断
前言 最近在做sqli-labs靶场练习,前面做了三十多道了,作为菜鸡的我才发现闭合符号的一些判断操作的猫腻,这里分享一下经验,避免踩坑. 有错误或者总结不到位的地方求小伙伴们指出. 目录 操作 分析 ...
最新文章
- WebSocket API简介
- 13.2.6 会话跟踪技术
- TimerTask定时任务
- 解决Django静态文件配置pycharm高光问题
- Windows 8.1 升级到专业版
- mysql隔离性和线性隔离_MySQL--事务,隔离性和隔离级别
- 在Mac OS X中使用VIM开发STM32(3)
- C++ string字符串修改和替换方法
- c语言贪吃蛇(简易版本含完整代码)
- 3D 语义分割、目标检测、实例分割是什么神仙操作?TF 3D 技术让你一目了然
- UI自动化测试如何生成HTML报告
- 如何优雅的给你的APK文件打上签名
- 关系数据库标准语言SQL——详解版2
- Hadoop MapReduce实现人员二度关系运算
- python查看微信撤回消息_python轻松实现查看微信撤回消息代码实例
- P7456 [CERC2018] The ABCD Murderer (ac自动机+线段树优化dp/反向st)
- 分布式原理:一文了解 Gossip 协议
- 使用ADB 查看模拟器得日志,unity得日志 以及保存
- 关于Gson对日期的格式化
- 中国数学家黄金一代-北大数学专业2000级