--+
sql注入过程中我们经常会碰到 --+这个东西,刚学习的小伙伴可能会对此有疑问,现在就来看看这个--+是一个什么东西。
其实 --在sql语句中起着注释的作用,将后面的语句注释掉,+ 则代表空格。为了更形象的显示,我们以sqli-labs 第一关来说明--+
1. 在源码中添加语句,将我们执行的语句打印出来
echo "执行的sql语句:"."$sql"."<br>";
看浏览器,我们输入的--+变成了--空格,此时--后面的语句被注释掉了,不会再执行
再将--+的+去掉,直接报错,说明如果不加+,则--起不到注释的作用
总结:--是起到注释的作用,+是启动空格的作用,在sql中用--注释后面必须加一个空格--才生效,所以我们不一定要用--+,可以用-- 加上空格在加上任意字符,都行
其实注释符还有#
#
#也是一个注释语句,但是在浏览器中提交时需进行url编码
如,不进行编码,则报错
进行url编码 %23
标签:语句,空格,--,注释,--+,sql,注入 来源: https://blog.csdn.net/qq_44159028/article/details/114808681
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。