SQL注入时+--+的意思和作用

在sqli-labs游戏中,经常使用--+放在最后注释多余部分,而mysql中的注释符为#和-- 却不能直接使用.
+是拼接字符串的;
--是SQL的注释标记,关键在于这个东西,后面的一切字符串都会比当做注释忽略掉。
在尝试sql注入时--+后面的任何字符都会被注释:

http://10.9.0.4/Less-1/?id=1' order by 1 --+ whoami 然后从数据库日志中看到如下查询 
210218  6:44:18	   37 Connect	root@localhost on
		   37 Init DB	security
		   37 Query	SELECT * FROM users WHERE id='1' order by 1 --  whoami' LIMIT 0,1
		   37 Quit
点赞

发表评论

电子邮件地址不会被公开。必填项已用 * 标注