ToB企服应用市场:ToB评测及商务社交产业平台

标题: SQL注入中#、--+、--%20、%23的含义 [打印本页]

作者: 郭卫东 时间: 2023-8-30 00:18
标题: SQL注入中#、--+、--%20、%23的含义
1.GET请求中
这两个可以作为注释使用，来保证使后面的语句不被执行。
在url中，如果是get请求，url中的#是用来知道浏览器动作的，对服务器端无效，所以HTTP请求中不包括#，因此使用#闭合无法注释，会报错。而使用-- (有个空格)在传输过程中空格也会被忽略，导致无法注释，所以在get请求传参注入时才会使用--+的方式来闭合，因为+会被注释为空格。
也可以使用--%20，通过%20作用是把空格转换为urlencode编码格式，不会报错，而%23也是把#转换了，也不会报错。
2.POST请求中
可以直接使用#来进行闭合，最常见的就是表单注入中使用。而--后面必须要有空格而#不需要这是因为使用00注释的时候需要使用空格才能形成有效的sql语句，而#后面可有可没有，这是sql规定的。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)