【CTF】两个-和#在sql的区别以及--后面为什么要加+

于 2024-08-21 08:15:00 发布
阅读量357 收藏 2
点赞数 11
分类专栏: CTF知识点 文章标签: sql 数据库 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/star3119391396/article/details/141368272
版权

在SQL中, 两个-和 # 都⽤作单⾏注释,但它们的使⽤环境和数据库系统兼容性有些不同。

一、区别

  1. – :这是SQL标准的单⾏注释符号。⼤多数SQL数据库,包括SQL Server、PostgreSQL和MySQL,都⽀持
    使⽤ - 进⾏单⾏注释。通常, - 后⾯需要跟⼀个空格。
    SELECT * FROM table – 这是⼀个注释
  1. # :这是MySQL特有的单⾏注释符号。它不是SQL标准的⼀部分,所以在其他数据库系统(如SQL Server
    或PostgreSQL)中可能不会被识别。
    SELECT * FROM table # 这也是⼀个注释,但仅在MySQL中有效
    如果你的代码只需要在MySQL中运⾏,使⽤ # 是没有问题的。但如果你希望你的SQL代码能在不同的数据库系
    统中运⾏,最好使⽤标准的 – 注释。
    总结⼀下, – 更具有通⽤性,⽽ # 是MySQL特有的。如果你在编写数据库⽆关的代码,最好使⽤ – 。

二、两个-后面为什么要加+

在某些SQL解析器和数据库管理系统(如MariaDB、MySQL等)中, – 后⾯需要跟⼀个空格才能被识别为SQL注释。在URL中,由于空格通常会被去掉或需要编码(通常为 %20 或 + ),所以直接使⽤⼀个空格可能会导致
SQL语法错误。

在这种情况下,添加 + 实际上是在确保注释 – 后⾯有⼀个空格,这样数据库就能正确解析这个SQL注释。因此, --+ 实际上是 – (两个短划线后⾯跟⼀个空格)的URL编码形式。

这就解释了为什么在这个具体例⼦中,不加 + 会导致SQL语法错误:数据库在解析SQL时没有把 – 识别为注释,因为它后⾯没有跟空格。⽽加上 + 后,数据库就能正确地把 – 识别为注释。

梦 & 醒
关注
  • 11
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTF---Web---SQL注入---11---注入列的选择与id的值
qq_22160557的博客
08-01 742
文章目录前言一、题目描述二、解题步骤1、尝试列数2、爆表的两种方式3、爆列、字段三、总结 前言 题目分类: CTF—Web—SQL注入—11—注入列的选择与id的值 一、题目描述 题目:SQL注入 二、解题步骤 1、尝试列数 Step1:尝试列数,1 union select 1,2,3,4# 列数为4列 1 union select 1,2,database(),4# 数据库名为:inject_05 2、爆表的两种方式 Step2:爆表 -1 union select 1,(select grou
ctf-2017-release:BSidesSF CTF 2017版本
05-28
如果您不熟悉Docker,则在本文档底部介绍两个用于安装docker的选项。 挑战性 现场挑战标有* 挑战名称 类别 点数 easyauth 网页 30 大号1 网页 20 尊宝2 网页 100 zumboa 3 网页 250 德尔福状态 加密/网络 ...
【web-ctfctf-pikachu-sql
一个努力生活的人的博客
07-11 1133
pikachu-sql
CTFHub---SQL注入
weixin_53736204的博客
07-28 440
1.输入1发现有两个回显,那么直接查库2.查表3.查flag表的字段名4.查表数据。
网络安全Web学习记录———CTF---Web---SQL注入(GET和POST传参)例题
Zhiyilang的博客
12-13 2301
最开始学习CTF里的web方向时,每次做了题遇到类似的老是忘记之前的解法,所以写点东西记录一下。听大哥的话,就从最开始的GET传参开始吧!!!(大部分都是只得其法,不得其理。希望以后学了更多后能补充上原理)
ctf_show笔记篇(web入门---sql注入)171-189
whale_waves的博客
03-12 1106
例如:原理,flag是十六进制的,最大到f所以可以用后面的英文来替换。利用into outfile来将查询到的表的内容写入到服务器的文件里。但这种情况一般需要知道web的地址例如/var/www/html/再利用python或者其他或者人工逆向替换回来。
CTFHUB - SQL注入-整数型和字符型注入
m0_64180167的博客
11-28 2344
对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的。,在管理员不知情的情况下实现非法操作,以此来实现欺骗。执行非授权的任意查询,从而进一步得到相应的数据信息。在学习SQL注入时要了解一些MYSQL语法。
CTFHUB-技能树-Web题-SQL注入-字符型注入
Static______的博客
03-29 457
对于字符型注入,可在url中输入。由此判断回显字段为1,2字段。由此判断字段数为两个
CTFHub:web前置技能-SQL注入-字符型注入
wdnmddbl的博客
06-12 1120
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:链接:我是一个知识点链接:我是一个知识点链接:我是一个知识点链接:sqlmap下载点我文章总结有我个人总结的一些知识点,希望对你有所帮助。练习sql注入,推荐使用sql-labs这个靶场,我后续也会更新从开始搭建到攻略1-75关完整教程,早些关注上车哦。大概思路和涉及的知识点sql注入基本语句和手工注入流程:#,–+,-- -代表后边忽略,常用与闭合思路:字符型注入点网页链接有类似的结构。
ctfhub --sql注入过关
qq_56610060的博客
08-13 873
python3 sqlmap.py -r “ua.txt” -p “User-Agent” –dbms mysql -p指定User-Agent参数指定username参数,-dbms指定了数据库。那么就可以在expr1处插入判断语句,expr2处放上正确语法的sql语句,expr3处放上错误语法的sql语句,这样的话就可以判断我们的 exper1处的判断语句是否正确。当数据库查询结果为空或者查询语句报错,回显error,所以我们通过**if(expr1,expr2,expr3)**来判断。
ctf-all-in-one
01-30
ctf-all-in-one
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: ... 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。...
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
CTF-Write-up:CTF撰写和信息
03-21
CTF比赛涵盖了密码学、web安全、逆向工程、取证分析等多个领域,对提升安全技能和团队协作能力有着显著作用。 CTF Write-up,即CTF比赛的解题报告,是参赛者在解决完挑战后,为了分享经验、帮助他人理解解题思路而...
SQL 时间盲注 (injection 第十六关)
最新发布
baishiqi12的博客
08-20 248
SQL 注入,仅供参考
SQL FOREIGN KEY 约束
m0_50736744的博客
08-16 430
SQL FOREIGN KEY 约束一个表中的 FOREIGN KEY 指向另一个表中的 UNIQUE KEY(唯一约束的键)。
mysql创建quartz定时任务相关表sql
xiexf20230814的博客
08-20 250
-存储Cron触发器的cron表达式和其他信息。--接下来,创建索引以提高性能;--存储简单触发器的额外属性。--存储复杂触发器的简单属性。--存储触发器的blob数据。--存储已触发的触发器信息。--存储调度器的状态信息。--存储暂停的触发器组。--存储触发器信息。
SQL - 基础大汇总
心如冰清,天塌不惊
08-16 477
【代码】数据库 - 基础。
ctf任务http-get
06-27
CTF(Capture The Flag)是一种网络安全竞赛活动,通常包含各种挑战,其中HTTP-GET任务是一种常见的Web安全方面的挑战。在这样的任务中,参与者需要利用HTTP协议的GET方法来获取隐藏的信息或解决某个谜题。 HTTP-GET任务通常涉及以下几个步骤: 1. **理解目标**: 你需要访问一个特定的URL,这个URL可能包含了加密或编码的数据。 2. **分析URL**: URL可能包含一些提示,比如参数、编码、加密算法等,你需要解码或破解这些元素以找到关键信息。 3. **使用工具**: 利用浏览器开发者工具或者命令行工具(如curl)来发送GET请求,并观察响应内容。 4. **解密/解析**: 分析返回的响应,可能需要密码学知识(如哈希、Base64解码等)、字符串处理技巧或特定的编码规则。 5. **获取旗子(Flag)**: 找到并提取隐藏的Flag,这通常是竞赛中的胜利标志。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

梦 & 醒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值