sql注入中的--+

#号在url中是用来指导浏览器动作的（例如锚点），对服务器端完全无用。所以，HTTP请求中不包括#


将#号改成url的编码%23就可以了。

 

+号在语句中变成了空格。用来和后面的单引号分隔开，将后面的语句注释。

--无法使用的原因，是因为--与后面的这个单引号连接在一起，无法形成有效的mysql语句。

在注入时我们除了--+外，也可以使用--‘来完成注入语句。

 

相关参考：https://blog.csdn.net/xiayun1995/article/details/86500605