sql注入中的--+
#号在url中是用来指导浏览器动作的(例如锚点),对服务器端完全无用。所以,HTTP请求中不包括#
将#号改成url的编码%23就可以了。
+号在语句中变成了空格。用来和后面的单引号分隔开,将后面的语句注释。
--无法使用的原因,是因为--与后面的这个单引号连接在一起,无法形成有效的mysql语句。
在注入时我们除了--+外,也可以使用--‘来完成注入语句。
相关参考:https://blog.csdn.net/xiayun1995/article/details/86500605