一、绕过SQL注入
1.绕过去除注释符的SQL注入
注释符的作用:
用于标记某段代码的作用,起到对代码功能的说明作用,但是注释掉的内容不会被执行。
Mysql中的注释符:
- 单行注释
--+
或--空格
或#
- 多行注释
/* 多行注释内容 */
正常的SQL语句中,注释符起到说明作用的功能;
但是对于在利用SQL注入漏洞过程中,注释符起到闭合单引号、多单引号、双引号、单括号、多括号的功能。
利用注释符过滤不能成功闭合单引号时,换一种思路,利用or ‘1’ = '1形式的语句来闭合。
SQL中测试:
select * from users where id