sql注入中关于“--+“,“--“和“#“

最新推荐文章于 2022-10-09 11:09:04 发布
最新推荐文章于 2022-10-09 11:09:04 发布
阅读量5.8k 收藏 26
点赞数 14
分类专栏: 附件集 文章标签: sql注入 注释符 渗透测试
原文链接:https://www.cnblogs.com/laoxiajiadeyun/p/10274780.html
版权

使用#

  • 有时发现执行的sql语句中没有#
  • 原因是url中#号是用来指导浏览器动作的(例如锚点),对服务器端完全无用。
    所以,HTTP请求中不包括#
  • 将#号改成url的编码%23就可以了

使用--和使用--+

  • 这里发现+号在语句中变成了空格。
    用来和后面的单引号分隔开,将后面的语句注释。

  • 了解原理后便知道了--无法使用的原因,是因为--与后面的单引号连接在一起,无法形成有效的mysql语句。

  • 在mysql中使用这个语句分析原因,输入后回车显示分号没有闭合

  • 所以在注入时我们除了使用--+外,也可以使用--'来完成sql注入语句

原味瓜子、
关注
  • 14
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
sql注入实例分析
weixin_30624825的博客
07-23 3431
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
PHP、Apache环境部署sqli-labs(SQL注入靶场)
01-08
PHP、Apache 环境部署 sqli-labs(SQL 注入靶场) 知识点 1: sqli-labs 介绍 ...通过部署 sqli-labs,用户可以在 PHP 和 Apache 环境实践 SQL 注入的技术,从而提高自己的安全意识和防御能力。
SQL注入为什么使用--+
weixin_39514626的博客
05-21 1312
原文链接:https://www.cnblogs.com/edhg/p/10145347.html 虽然" # "和" -- "(后面一定有个空格)在sql注入都表示注释,但是在注入点在url时"#"不会被请求所以不能用。然后url“+”会被解释成空格,所以在url使用的是“--+”。 ...
关于sql注入--+
good good study
03-14 1万+
--+ sql注入过程我们经常会碰到 --+这个东西,刚学习的小伙伴可能会对此有疑问,现在就来看看这个--+是一个什么东西。 其实 --在sql语句起着注释的作用,将后面的语句注释掉,+ 则代表空格。为了更形象的显示,我们以sqli-labs 第一关来说明--+ 1. 在源码添加语句,将我们执行的语句打印出来 echo "执行的sql语句:"."$sql"."<br>"; 看浏览器,我们输入的--+变成了--空格,此时--后面的语句被注释掉了,不会再...
SQL语句(一)--注释
qq_45809347的博客
10-09 5872
MySQL数据库常用注释
SQL 注入为啥用--+
weixin_30641465的博客
12-19 240
--, 和 # 在SQL表示注释 SQL--后一定要有空格才可以注释, 不加空格会报错 URL#不会被请求 URL+会被转换成空格 转载于:https://www.cnblogs.com/edhg/p/10145347.html...
SQL的注释
回家养老
03-27 1万+
一、单行注释 SQL语句的单行注释使用 -- create database database_x --创建数据库database_x 二、多行注释 SQL语句的多行注释采用 /*…*/ create database database_x /* 创建一个数据库 名字叫做database_x */ ...
SQL注入天书 sqli-labs
01-11
SQL注入天书 sqli-labs》是一本深入探讨SQL注入技术的专业资料,结合了sqli-labs实战平台,旨在帮助读者强化对SQL注入的理解和防御能力。SQL注入是一种常见的网络安全漏洞,攻击者通过在输入数据嵌入恶意SQL代码...
第一节 SQL注入的原理-01
09-15
SQL注入是一种常见的Web应用安全漏洞,发生在Web应用程序使用用户输入数据构造SQL语句时,没有正确地对用户输入进行过滤和转义,导致攻击者可以 inject 恶意SQL代码,访问、修改或控制敏感数据。 解释型语言和编译...
sql生成器--含注释
08-11
sql生成器的功能就是自动生成插入、查询和更新的sql语句,语句字段必须包含注释
SQL注入-概述-ppt.pptx
10-27
SQL相关资料
SQL单行注释和多行注释
热门推荐
nianbingsihan的博客
07-03 10万+
单行注释:-- 例如--单行注释 SELECT * FROM talbe;多行注释: /* */ 例如:/* 此处 为多行注释内容 */ SELECT * FROM table;
SQL 注释语句
HeatDeath的博客
12-26 2万+
SQL注释分为单行注释和多行注释。顾名思义,单行注释就是对一行进行注释,多行注释就是同时对多行进行注释。一、单行注释 SQL语句的单行注释使用 –create database database_x --创建数据库database_x二、多行注释 SQL语句的多行注释采用 /…/create database database_x /* 创建一个数据库 名字叫做da
SQL注入注释
friendan的专栏
08-15 6987
//  这里以MySQL为例子 select name,pass from tbAdmin where name='admin' and pass='123456' 输入:admin' or 1=1# SQL变成下面这个样子: select name,pass from tbAdmin where name='admin' or 1=1#' and pass='1234
Sql注入注释
永不垂头的博客
07-29 1525
学习笔记—Sql注入注释 注释: http://127.0.0.1/7-27/index.php?id=1 --+ ss Concat() select concat(‘aa’,‘bb’); select concat(‘aa’,user()); select concat(’[’,user(),’]’); http://127.0.0.1/7-27/index.php load_file ?id=1 UNION SELECT 1,2,3,LOAD_FILE(“D:/phpstudy
oracle的sql脚本怎么注释
u010523770的专栏
01-09 1万+
单行注释: --示例:select * from tb_name; --查xx表的记录明细多行注释:/**/示例:select * from tb_name1;/*select * from tb_name2;dbms_output.put_line(sqlerrm);*/
用例导图就是牛(由AI进行编曲和演唱)
最新发布
07-05
sunoAI确实厉害
sql注入-- - 和-- + 和#的区别
06-02
在 SQL 注入,"--"、"-- "、"--+"、"#"等号是常用的注释号,用于在 SQL 语句注释掉后面的内容,以达到绕过身份验证、绕过 SQL 语句限制、获取敏感信息等目的。它们的区别如下: 1. "--":表示注释掉后面的内容,可以在后面添加空格或其他字。 2. "-- ":表示注释掉后面的内容,但需要在后面添加一个空格。 3. "--+":表示注释掉后面的内容,但需要在后面添加一个加号。 4. "#":表示注释掉后面的内容,但只能在一行的开头使用。 使用这些号时需要注意,不同的数据库可能对于这些号的处理方式不同,有些数据库可能会忽略这些号,有些数据库可能会将其作为字串的一部分处理,因此需要根据具体情况进行测试和尝试。此外,在编写 SQL 语句时应该尽可能避免使用动态拼接 SQL 语句的方式,而应该采用参数化查询的方式,以避免 SQL 注入攻击的发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值