SQL注入时不能用#号的原因

最新推荐文章于 2023-08-11 18:50:13 发布
最新推荐文章于 2023-08-11 18:50:13 发布
阅读量2.5k 收藏 8
点赞数 8
分类专栏: # WEB安全 文章标签: SQL注入 MYSQL #
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014029795/article/details/87870976
版权

因为一直在纠结一个问题,为什么有些时候在做sql注入时不能用#做注释,只能拿%23做注释使用,前端代码并没有过滤,所以只能是后台的限制,询问了大佬以后,告诉我去监控一下MYSQL的语句,折腾了半天,终于搞好了。

开启日志

  • 先查看mysql日志是否开启 
    mysql> show variables like 'log_bin%';
log_bin | ON 则开启
  • 如果没有开启,在/etc/my.cnf中的[mysqld]下加入以下两行命令:
    log-bin=mysql-bin
log =/tmp/mysql.log
    然后重启mysqld即可。

监控日志

通过以下命令来完成mysql日志的监控tail -f /tmp/mysql.log

[root@tutu tmp]# tail -f /tmp/mysql.log    
190222  1:08:09     4 Connect   root@localhost on 
                    4 Init DB   security
                    4 Query     SELECT * FROM users WHERE id='1' #' LIMIT 0,1
                    4 Quit
                    //这条是使用%23来注释
190222  1:08:13     5 Connect   root@localhost on 
                    5 Init DB   security
                    5 Query     SELECT * FROM users WHERE id='1' ' LIMIT 0,1
                    5 Quit
					//这条是使用#来注释

还可以使用seay数据库审计系统中的Mysql插件来进行查看日志。

总结

由上可以看出,从浏览器输入的#并没有发到数据库来,但是不知道为啥,有说是数据库的编码、数据字段的类型、index.php的编码等等问题,但验证过后都不是,在测试过程中总觉得是浏览器有问题,那接下来用burp试试再看看。
由此可见确实发出来的时候直接将#去掉了,不死心,继续扔到repeater里面测试,结果发现了这么一个东西。。。
于是猜想#号是不是在URL中有特殊含义的,简单去搜索了下才发现#确实是有特殊作用的,并且现在不允许出现在http请求中不允许出现#,但是记得在之前确实也可以拿#(POST方式肯定是可以的)来进行注释的阿。。。有点无语,折腾了几个小时来测试这个东西,当然也掌握到了一些新的东西。

baynk
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于SQL注入#,--,--+的使用
qq_30889301的博客
05-24 977
了解原理后便知道了–无法使用的原因,是因为–与后面的单引号连接在一起,无法形成有效的mysql语句。原因是url中#号是用来指导浏览器动作的(例如锚点),对服务器端完全无用。所以在注入我们除了使用–+外,也可以使用–'来完成sql注入语句。在mysql中使用这个语句分析原因,输入后回车显示分号没有闭合。用来和后面的单引号分隔开,将后面的语句注释。有发现URL中执行sql注入#号无效。将#号改成url的编码%23就可以了。这里发现+号在语句中变成了空格。所以,HTTP请求中不包括#
记录一次诡异的拼接sql不生效问题
weixin_34199335的博客
11-07 332
采用StringBuffer来拼接sql,最开始如下写法: StringBufer sql=new StringBufer(“update table set “); If(getA()!=null&&!””.equals(getA())) sql.append(“a=#a#”); If(getB()!=null&&!””.equals(getB())) sql.a...
SQL注入中,注释#、 --+、 --%20、 %23到底是什么意思?sqli-labs-master
热门推荐
weixin_43096078的博客
08-25 2万+
1.# 和 -- (有个空格)表示注释,可以使它们后面的语句不被执行。在url中,如果是get请求**(记住是get请求,也就是我们在浏览器中输入的url)** ,解释执行的候,url中#号是用来指导浏览器动作的,对服务器端无用。所以,HTTP请求中不包括#,因此使用#闭合无法注释,会报错;而使用-- (有个空格),在传输过程中空格会被忽略,同样导致无法注释,所以在get请求传参注入才会使用--+的方式来闭合,因为+会被解释成空格。 2.当然,也可以使用--%20,把空格转换为urlencode编码格式
#{} 导致 sql 语法分析错误
歪比巴卜
04-27 559
1. #{} 与 ${} 的区别 要了解这个坑就要先了解 #{} 和 ${} 的区别[1.2] #{} ${} 变量替换 变量替换后会自动加上单引号 变量替换后不会加上单引号 sql 注入 能防止 sql 注入 不能防止 sql 注入 拼接 sql 方式 以预编译的形式,将参数设置到 sql 语句中,使用的是 PreparedStatement 直接拼装在 sql 语句中 效率 较低 较高 2. 我的问题 我的问题是变量替换添加单引号所导致的 mybati
sql注入中的--+注释问题探索
老夏家的云
01-15 2万+
sql-labs游戏中,经常使用--+放在最后注释多余部分,而mysql中的注释符为#和-- 却不能直接使用,以前没学过mysql,一直不理解,也不知道+号的作用,今天有间特地探索了一下,算是搞明白了其中的原因sql-labs闯关游戏资源及介绍见此:https://github.com/Audi-1/sqli-labs 第一关示例: 在源代码中加入下面两行,使网页能回显我们输入的有效...
SQL#与$的区别
weixin_47918681的博客
09-23 3482
一 、在这里用到了#{},使用#: 1、用来传入参数,sql在解析的候会加上” “,当成字符串来解析 ,如这里 role_id = “roleid”; 2、#{}能够很大程度上防止sql注入; 延伸: 1、用{roleId,jdbcType=INTEGER},那么sql在解析的候值为roleId = roleId,执行会报错; 2、${}方式无法防止sql注入; 3、$一般用入传入数据库对象,比如数据库表名; 4、能用#{}尽量用#{}; 注意: mybaties排序使用order by 动态参
C#使用带like的sql语句sql注入的方法
09-04
本文将探讨如何在C#中使用带`LIKE`的SQL语句防止SQL注入。 首先,让我们了解什么是SQL注入。当程序直接将用户输入的字符串拼接到SQL查询中,如果未进行适当的数据验证和转义,攻击者就可能插入有害的SQL代码,...
sql注入讲解ppt.pptx
08-10
SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
最新发布
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库操作。攻击者通常寻找没有适当验证和过滤的用户输入,然后利用这些漏洞来构造能改变原始SQL语句意图的...
SQL 注入天书.pdf
08-06
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的SQL代码直接构建数据库查询。当攻击者能够通过输入恶意SQL语句来控制或篡改数据库查询,他们就能获取敏感信息、修改数据甚至完全控制系统。《SQL...
sql注入#sql靶场
11-02
SQL注入是一种常见的网络安全漏洞,它发生在应用程序未能正确过滤或验证用户输入的数据,导致恶意SQL代码可以被嵌入到查询中并被执行。SQL靶场通常是指用于安全培训、测试和研究SQL注入攻击的环境,它可以帮助开发者...
sql语句中的符号】(通配符+#{}+${})
灵活的小胖子
08-17 9088
背景:别人写的代码,由于数据库添加了一个is_delete(0:未删除;1:已删除)字段用来做假删除,大家都知道,如果说一条数据删除了,那么肯定是不能查出来的了,因此,我的任务就是修改由于添加一个字段而引发的灾难。 问题: 我们的sql: select i.id, i.project_id, i.sets, i.name, i.length, i.likes, i.url, i.type, p.project_name from
sql SQL server 中的@,@@、###分别代表什么
softuse的博客
12-14 1万+
​​​​​​​ 1、SQL server 中的@,@@、###分别代表什么?_百度知道.html(SQL server 中的@,@@、###分别代表什么?_百度知道) @ 表示局部变量 @@ 表示全局变量 # 表示本地临表的名称,以单个数字符号打头;它们仅对当前的用户连接是可见的 ## 表示全局临表 使用事例如下图所示:    扩展资料: 本地临表 以一个井号 (#) 开头的表名。只有在创建本地临表连接是才能看得到,连接断开表立马被删除,也就是到货本地临表为创建它
sql注入实例分析
weixin_30624825的博客
07-23 3444
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
sql注入--报错注入
hello
08-11 491
http头部报错注入常见方法
SQL注入基础知识总结
weixin_39157582的博客
08-16 1650
SQL注入—基础知识总结1、注释符1.1、Mysql中注释符有三种新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 1、注释符 SQL注入候经常会用到注释符注释掉SQL语句后边的拼接内容,在字符型参数注入中常见。 1
一些特殊SQL使用Mybatis的#{}和${}注意点
神笔码农.的博客
10-18 2070
Mybatis对JDBC进行了进一步封装,使得我们可以更加便捷的使用Java操作数据库。#{}和${}在大部分情况下,#{}和${}都能相互替代,使用两者之一即可,更加推荐使用#{},因为可以防止SQL注入问题,但是由于#{}和${}本质上的不同,部分SQL语句使用#{}和${}需要格外注意。
sqli-labs笔记(二)
Lyn_10086的博客
10-22 221
sqli-lbs笔记:test 2 主要还是参考了《sqlilabs过关手册注入天书》,参考的其他一些各种零散的文章, 链接放在文末。 一、盲注类型 盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面,此,需要利用一些方法进行判断或者尝试,这个过程称之为盲注。 二、布尔盲注 主要是通过构造逻辑判断 相关函数:left(),substr(),ascii(),ORD(),MID(),regexp正则,like匹配, 三、基于报错的sql盲注 主要是通过构造payload让信息
SQL#和$的区别以及使用它们会造成的问题
qq_37511997的博客
05-17 2255
不同点 ●使用#获取传入的数据会在数据上加上引号。比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = “1”; ●使用$获取传入的数据不会对数据做任何改变,比如 where userId = #{userId },如果userId传入的值为1,那最终的sql就是 where userId = 1; ● #能够一定程度上防止SQL注入 ● $无法防止SQL注入 ● $一般用于传入数据库对象,例如传入表名。(仍会存在S
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值