SQL注入基础知识总结

最新推荐文章于 2024-05-03 00:11:15 发布
最新推荐文章于 2024-05-03 00:11:15 发布
阅读量1.6k 收藏 16
点赞数 2
分类专栏: 基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39157582/article/details/107896148
版权

SQL注入—基础知识总结

1、注释符

SQL注入的时候经常会用到注释符注释掉SQL语句后边的拼接内容,在字符型参数注入中常见。

1.1、Mysql中注释符有三种

mysql三种注释符
(1) 注释符:- -
– 在mysql中使用时有时会出错。原因是 - - 后面的空格在URL中最后会被忽略,导致- -与后面的语句连接在一起,无法形成有效的mysql语句。在使用时将空格替换成 + ,即- -+
就可以了。在注入时除了- -+外,- -‘也可以完成注入语句。

(2) 注释符:#
#比较少用,很多情况使用会出错。原因是 # 不能被浏览器识别进行URL编码,数据传输过程中不会把它一起带入后端,转换成URL编码%23就可以使用了。

(url中 # 号是用来指导浏览器动作的(例如锚点),对服务器端完全无用,所以HTTP请求中不包括 #

(3) 注释符: /**/
因为注释符#、-- 都是把后面的语句全部注释掉了,而内联注释则是注释指定部分,需要一前一后闭合,所以在传参那里几乎不做注释语句用,而是用于过滤空格等bypass。

?id=-1'/**/union/**/select/**/1,2,database()--+

过滤空格,用/**/代替空格

(4) 注释符:payload结尾单引号闭合

最低0.47元/天 解锁文章
三体-二向箔
关注
  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql sql注释符号_SQL注入注释符(#、-- 、/**/)使用条件及其他注释方式的探索
weixin_39781452的博客
01-21 1万+
以MySQL为例,首先我们知道mysql注释符有#、-- (后面有空格)、/**/三种,在SQL注入中经常用到,但是不一定都适用。笔者在sqlilabs通关过程中就遇到不同场景用的注释符不同,这让我很疑惑,让我们来深入挖掘一番(篇幅比较长,省时间可以跳到最后看结论)。以第一关(GET提交方式)和第十一关(POST提交方式)为例,从前端--数据传输--数据库查询命令三方面讲解:目录(本文篇幅较长,点...
sql 注入中的注释
m0_73721944的博客
06-13 1494
在url中,如果是get请求**(记住是get请求),也就是我们在浏览器中输入的url)** ,解释执行的时候,url中#号是用来指导浏览器动作的,对服务器端无用。所以,HTTP请求中不包括#,因此使用#闭合无法注释,会报错;3.对于所有其他的字符,用这个字符的当前字符集编码在内存中的十六进制格式表示,并在每一个字节前加上一个百分号(%),如字符“+”是用%2B表示,字符“=”用%3D表示,字符“&”用%26表示,每个中文字符在内存中占两个字节,字符“中”用%D6%D0表示,字符“国”用%B9%FA表示。
SQL中的注释语句(三种注释
热门推荐
dayichengxuyuan的博客
10-30 4万+
SQL中的注释语句(三种注释
2024年最全SQL注入学习之特殊符号(三)_可能引起sql注入符号有哪些
最新发布
2401_84302722的博客
05-03 713
’“”(){}``admin/这样是等效于/**/– + 用这个符号注意是–空格任意字符很多人搞混了;%00!/ 内列注释为什么放在这里呢,因为它也可以当作一个空格 /!!/是等效于/!*/的:=&&, ANDNOT-, +!还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!
T-SQL中的注释符和运算符
qq_43552118的博客
02-22 9364
一.注释注释符(--),用于单行注释,  /*”  “*/”,  “/*”用于注释文字的开头,“*/”用于注释文字的结尾,可在程序中标识多行文字为注释 二.运算符 运算符是一种符号,用来进行常量、变量或者列之间的数学运算和比较操作,它是Transact-SQL语言很重要的部分。运算符有几种类型分别为:算术运算符、赋值运算符、比较运算符、逻辑运算符、位运算符、连接运算符 1.算术运算符...
mssql基础(四)——mssql符号
7Riven's blog
11-08 1444
1.注释符号 /* : -- :注释掉后面的内容,单行注释 ;%00 :其中%00解码后是0×00 2.空白字符 01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20 /**/ 3.运算符号 + 加法运算 - ...
数据库注释
Ethan024的博客
03-23 2205
数据库注释符 MySQL数据库支持3中注释: 从‘#’字符到结尾; 从‘- -’序列到结尾(‘- -’要求第二个破折号后面至少跟一个空格); 从/*到/*/,可跨行; 例:
SQL注入基础总结
IerkeU的博客
12-09 4208
一、什么是SQL注入? 答:SQL注入是比较常见的网络攻击方式之一,它不是利用OS的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句实现无账号登陆,甚至篡改数据库。 二、SQL注入的原理? 答:SQL注入攻击通过构建特殊的输入语句作为参数传入web应用程序,指的是服务器对用户输入数据过滤不严,导致服务器SQL语句被恶意篡改并成功 SQL注入的危害? 当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行 Sql 语句。 SQL注入带来的危害主要有如
sql注入知识点总结.pdf
02-11
根据网上视频课程学习总结知识点,文档结构分为SQL注入概述、SQL注入分类、SQL注入流程、SQL注入方法、自动化注入做出总结 整理为文档 可以方便查阅
SQL注入基础知识
01-18
SQL注入基础知识的学习,可以对你有很大的帮助,避免在开发过程中出现更多的安全问题
DVWA之SQL注入详解(包含知识点)
10-20
该文档是使用DVWA平台进行的SQL注入(low)级别的详细操作和知识点分析,包括什么是SQL注入,如何进行SQL注入,图文并茂,包含了几个非常不错的操作,解决了各种问题。
sql注入之必备的基础知识
09-10
所有的知识点都是在sql注入中最常用到也是最基础的知识点。对于一个需要精通sql语句的web安全工程师来说,下面的知识是必须要掌握的。下面的知识也是学习sql注入最基本的知识。下面大家来一起看看吧。
sql注入基础知识.rar
04-17
sql注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗...
sql注入中关于“--+“,“--“和“#“
原味瓜子、的博客
09-28 5845
使用#号 有时发现执行的sql语句中没有#号 原因是url中#号是用来指导浏览器动作的(例如锚点),对服务器端完全无用。 所以,HTTP请求中不包括# 将#号改成url的编码%23就可以了 使用--和使用--+ 这里发现+号在语句中变成了空格。 用来和后面的单引号分隔开,将后面的语句注释。 了解原理后便知道了--无法使用的原因,是因为--与后面的单引号连接在一起,无法形成有效的mysql语句。 在mysql中使用这个语句分析原因,输入后回车显示分号没有闭合 所以在注入时我们除了使用--+
SQL语句(一)--注释
qq_45809347的博客
10-09 5899
MySQL数据库中常用注释符。
在mysql注释符是什么意思_为MYSQL注释--mysql注释
weixin_29133985的博客
02-05 1563
上午插入记录的时候一直没有成功,郁闷不知道为什么.因为是很多条记录一起插入,中间一些不用的数据就用"--"来注释了,结果没有效果.没有办法,在网上找了找,才发现注释符"--"错了,需要一个空格,应该是"-- ".mysql注释符有三种:1、#...2、"-- ..."3、/*...*/mysql 服务器支持 # 到该行结束、-- 到该行结束 以及 /* 行中间或多个行 */ 的注释方格:mysq...
MySQL的三种注释方法
liuyulong2010的专栏
12-25 2万+
1.单行注释符"#",#注释符后直接加注释内容 2.单行注释符"--",--注释符后需要加一个空格,注释才能生效 3.多行注释符"/* */",/*用于注释内容的开头,*/用于注释内容的结尾
SQL 注入之注释符绕过
nihao_ma_的博客
05-07 1003
SQL 注入之注释符绕过
CTFSQL注入基础知识
04-03
下面是CTF中SQL注入基础知识: 1. 什么是SQL注入SQL注入是指攻击者通过在应用程序的输入中插入恶意的SQL代码,从而绕过应用程序的验证和过滤机制,进而执行非法的数据库操作。攻击者可以通过SQL注入获取敏感...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值