Geek青松 2015-09-16 08:51 采纳率: 100%
浏览 4102
已采纳

SQL注入时+--+的意思和作用?

在学习dvwa中的sql注入时,教程中有条语句http://localhost/DVWA-1.0.8/vulnerabilities/sqli/?id=1' and length(char(113,114))=2+--+ &Submit=Submit#。该句中的+--+的意思和作用?把它去掉之后,注入会失败,去掉两个+后,注释符号--失效。请大神来解答一下!!!

  • 写回答

1条回答 默认 最新

  • cqtrq 2015-09-16 08:59
    关注

    +是拼接字符串的;
    --是SQL的注释标记,关键在于这个东西,后面的一切字符串都会比当做注释忽略掉。
    注入的目的就是把真实的验证逻辑转移到--后面!不知道说清楚没有,呵呵

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • SQL入时+--+的意思和作用 sql
    2015-09-16 08:51
    回答 1 已采纳 +是拼接字符串的; --SQL释标记,关键在于这个东西,后面的一切字符串都会比当做释忽略掉。 入的目的就是把真实的验证逻辑转移到--后面!不知道说清楚没有,呵呵
  • sleep函数被禁用后怎么进行sql入? mysql web安全 网络安全
    2022-10-06 21:55
    回答 2 已采纳 通过rpad或repeat构造长字符串,加以计算量大的pattern,通过repeat的参数可以控制延时长短。
  • sql中多大的数据才算是大数据 java mysql 数据库
    2022-03-31 17:24
    回答 5 已采纳 其实没有实际的标准明确定义多少数据量算大数据,不过阿里开发手册中建议,表数据超过500万条时,建议考虑分表,以防影响查询效率,不过我们公司也有单表超过几千万条的数据,效率确实不高,所以理论上百万级别以
  • 2020面试真题Java+大数据--杭州
    2020-10-18 16:07
    Java 和大数据技术是现代软件开发领域中的核心组成部分,它们在构建高效、可扩展的应用系统中发挥着关键作用。以下是对标题和描述中涉及知识点的详细解释: 1. **Java 基础**: - **跨平台原理**:Java 的跨平台...
  • java.sql.SQLSyntaxErrorException: ORA-00932: 数据类型不一致 intellij-idea java oracle
    2021-08-23 11:21
    回答 1 已采纳 查了一下数据库结构发现跟正式库虽然字段和数据都一样,但是我是用IDEA导出正式库的CSV类型表,导入到测试库中。正式库中的表字段类型为VARCHAR2类型,发现测试库的表字段类型大部分为CLOB类型,
  • sql server 表名和字段名最大长度限制是? sql sqlserver 数据库
    2022-06-09 12:19
    回答 1 已采纳 都是128 其余数据库可以参考https://blog.csdn.net/weixin_44231544/article/details/121341519
  • PreparedStatement防止sql入的一些疑问? sql
    2018-11-08 10:20
    回答 1 已采纳 PreparedStatement并不使用字符串拼接来调用参数,所以根本不存在添加单引号一说。再说,添加单引号就不能入了么? SELECT * FROM employees WHERE salar
  • SQL向导第四部分-将数据列表传递到SQL Server
    2021-04-08 01:15
    但这增加了SQL入的风险,因此必须谨慎处理。 7. **JSON参数**:SQL Server 2016及更高版本支持JSON,可以使用类似XML的方法来传递和处理列表。 文件“SQL-Wizardry-Part-Four-Passing-Lists-of-Data-to-SQ.pdf”...
  • springboot+mybatis-plus关于数据权限过滤应该怎么实现 java spring boot
    2022-04-15 16:40
    回答 1 已采纳 1.个人认为设计数据权限,在每条数据中有数据所属人和所属部门的标识来区分数据的归属,可以是创建人也可以别的字段看具体业务,用户信息表有所属部门信息权限信息2.判断数据时可以获取当前用户信息,根据当前用
  • mybatis-plus批量更新是几条sql? java mysql
    2021-03-08 10:34
    回答 2 已采纳 mybatis plus的批量更新用的是batchexecutor!这玩意是将多个sql写入到一个事务提交的!
  • java.sql.SQLSyntaxErrorException: ORA-00936: 式がありません。 eclipse java java-ee oracle sql
    2019-10-16 14:14
    回答 1 已采纳 这个错的意思是TTestDomainImple的230行这个方法,执行SQL时候报错。错误内容是你传入的参数类型和SQL脚本需要的类型不一样,自己检查下每个字段。
  • Go-基于Go的sql包AWQL驱动器
    2019-08-13 10:50
    使用预编译语句(`Prepare`和`ExecContext`)防止SQL入攻击,同时确保敏感数据(如密码)在传输时被加密。 通过`awql-driver`,Go开发者可以充分利用Go的简洁性和强大的并发能力,高效地与AWQL兼容的数据库进行...
  • 这段代码会有sql入的安全问题吗? sql
    2017-12-06 03:59
    回答 2 已采纳 不知道诶,在取得对象之前有没有对对象做过处理?用正则表达式对取得的对象做一下处理才可能没有问题。
  • 《IT学习资料》-Java 大数据学习笔记.zip
    2024-04-02 16:07
    《IT学习资料》-Java 大数据学习笔记.zip是一个涵盖了多方面IT技术的综合学习资源,特别是针对Java和大数据这两个热门领域。这份压缩包中包含了各种教程、笔记和参考资料,帮助学习者深入理解和掌握相关技能。 1. *...
  • SQL入之oracle入+SQLbypass+sqlmap实战
    2024-02-21 21:29
    Yf3_te的博客 作为企业级数据管理解决方案的市场领导者,Oracle数据库在可靠性、安全性、可伸缩性和性能方面具有卓越表现,被广泛应用于各类关键业务场景,包括金融、电信、政府和大型企业的各种复杂应用。**核心特性:**
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 metadata提取的PDF元数据,如何转换为一个Excel
  • ¥15 关于arduino编程toCharArray()函数的使用
  • ¥100 vc++混合CEF采用CLR方式编译报错
  • ¥15 coze 的插件输入飞书多维表格 app_token 后一直显示错误,如何解决?
  • ¥15 vite+vue3+plyr播放本地public文件夹下视频无法加载
  • ¥15 c#逐行读取txt文本,但是每一行里面数据之间空格数量不同
  • ¥50 如何openEuler 22.03上安装配置drbd
  • ¥20 ING91680C BLE5.3 芯片怎么实现串口收发数据
  • ¥15 无线连接树莓派,无法执行update,如何解决?(相关搜索:软件下载)
  • ¥15 Windows11, backspace, enter, space键失灵