sql注入中的--+

#号在url中是用来指导浏览器动作的(例如锚点),对服务器端完全无用。所以,HTTP请求中不包括#

将#号改成url的编码%23就可以了。

 

+号在语句中变成了空格。用来和后面的单引号分隔开,将后面的语句注释。

--无法使用的原因,是因为--与后面的这个单引号连接在一起,无法形成有效的mysql语句。

在注入时我们除了--+外,也可以使用--‘来完成注入语句。

 

相关参考:https://blog.csdn.net/xiayun1995/article/details/86500605

 

posted @ 2021-07-08 14:14  怀光  阅读(768)  评论(0编辑  收藏  举报