我是新手實在是想不明白,SQL注入為什么要用--+才行,為什么--會報錯,加上+就好了呢,
uj5u.com熱心網友回復:
你至少要弄一個可以重現的環境出來, 給大家測驗。
你把相關的陳述句發出來吧。
uj5u.com熱心網友回復:
那么,你的陳述句呢?
uj5u.com熱心網友回復:
參考 1 樓 吉普賽的歌的回復: 你至少要弄一個可以重現的環境出來, 給大家測驗。
http://127.0.0.1/sqllib/Less-1/?id=1‘這個保存,加上--也是保存,--+就不保存了,--我知道是注釋,那個+起的是什么作用
uj5u.com熱心網友回復:
參考 2 樓 賣水果的net的回復: 那么,你的陳述句呢?
http://127.0.0.1/sqllib/Less-1/?id=1--+
uj5u.com熱心網友回復:
參考 1 樓 吉普賽的歌的回復: 你至少要弄一個可以重現的環境出來, 給大家測驗。
http://127.0.0.1/sqllib/Less-1/?id=1‘
這個報錯,加上--也是報錯,用--+就不報錯了,--我知道是注釋,那個+起的是什么作用
uj5u.com熱心網友回復:
參考 5 樓 qq_44574465 的回復: Quote: 參考 1 樓 吉普賽的歌的回復: 你至少要弄一個可以重現的環境出來, 給大家測驗。
你要跟蹤程式呀, 打斷點單步跟蹤, 看一下最終的SQL是什么樣的, 或者程式中途有沒有做什么處理?
uj5u.com熱心網友回復:
參考 6 樓 吉普賽的歌的回復: Quote: 參考 5 樓 qq_44574465 的回復: Quote: 參考 1 樓 吉普賽的歌的回復: 你至少要弄一個可以重現的環境出來, 給大家測驗。
這是注入練習,sqli,大佬寫的用來練習sql注入的網站,我就是不明白--+的意思,
uj5u.com熱心網友回復:
參考 7 樓 qq_44574465 的回復: Quote: 參考 6 樓 吉普賽的歌的回復: Quote: 參考 5 樓 qq_44574465 的回復: Quote: 參考 1 樓 吉普賽的歌的回復: 你至少要弄一個可以重現的環境出來, 給大家測驗。
你不跟蹤代碼, 如何知道最終的sql, 如何知道程式是怎樣處理的?
比方說:程式會去掉最后一個字符, 還覺得很奇怪嗎?
uj5u.com熱心網友回復:
參考 8 樓 吉普賽的歌的回復: Quote: 參考 7 樓 qq_44574465 的回復: Quote: 參考 6 樓 吉普賽的歌的回復: Quote: 參考 5 樓 qq_44574465 的回復: Quote: 參考 1 樓 吉普賽的歌的回復: 你至少要弄一個可以重現的環境出來, 給大家測驗。
好的,我去抓包看下程序,
uj5u.com熱心網友回復:
你這個問題,比較奇怪。
--用來注釋,用在SQL注入時,都在用在結尾最末。用途是將原來的的SQL陳述句的后面部分作廢。
--+的話,這個+ 應該是不起作用才對。有和沒有應該是一樣啊
uj5u.com熱心網友回復:
參考 10 樓 threedeer的回復: 你這個問題,比較奇怪。
對呀,我也是這樣想的,所以很迷惑啊,
uj5u.com熱心網友回復:
參考 9 樓 qq_44574465的回復: Quote: 參考 8 樓 吉普賽的歌的回復: Quote: 參考 7 樓 qq_44574465 的回復: Quote: 參考 6 樓 吉普賽的歌的回復: Quote: 參考 5 樓 qq_44574465 的回復: Quote: 參考 1 樓 吉普賽的歌的回復: 你至少要弄一個可以重現的環境出來, 給大家測驗。
抓包抓不到局域網網址的資料包,,,
uj5u.com熱心網友回復:
我新手,這幾天也對這個問題表示很納悶,我是這樣想的,你如果只使用--那么就會成為--',不是有效的sql陳述句,而使用--+那么就會變為--+',那個加號是拼接字串的,他有效的隔開了-和',所有使用--+,我也不知道這樣想對不對,樓主你現在是咋樣認為的
uj5u.com熱心網友回復:
php在接收到引數的時候,會自動對引數進行一次urldecode解碼操作,因此,如果傳送的引數未進行url編碼,那特殊字符(例如+號)就會被解碼為空格,導致引數接收不正確。
uj5u.com熱心網友回復:
https://blog.csdn.net/ljl890705/article/details/79916546
轉載請註明出處,本文鏈接:https://www.uj5u.com/shujuku/90556.html
標籤:新技術前沿
上一篇:SQL Server資料庫
下一篇:T_如何去重后使用string_agg函式?
