網上大量文章,甚至《黑客攻防技術實戰寶典-web實戰篇》裡面都說一些關鍵字如 select 等繞過可以用注釋符/**/。
例如:select,union。可以用 ,se/**/lect,un/**/ion繞過。
然而多次碰到sql注入題我嘗試這些方法,全部失敗。
後來自己開了mysql試了才知道,這兩種方法不行,我是最新版的mysql。
但是內聯注釋可以,/*!select*/。
/**/倒是可以用來繞過空格
並不清楚是那些人的mysql版本跟我不同還是怎麼樣,有些甚至說用尖括號<>也可以,試過了,同樣不行。
碰到關鍵字,可以試試雙寫,大小寫以及預處理等方法。
所以這個事情還是引以為戒,一篇文章錯了,一堆文章也錯,這個屬實不應該,希望是版本更新了導致這個方法失效了。
不太理解一篇文章裡又說/**/可以繞過空格又可以繞過關鍵字的腦迴路是怎麼樣的
難道select跟se lect都能執行?
希望懂的大佬幫忙解解惑。
SQL 常用關鍵字
create database 建立資料庫 create database my db 建立表 create table user id int 11 not null auto increment,name varchar 50 default null,password varchar 50 d...
C 裡partial關鍵字的作用
url b 1.什麼是區域性型別?b c 2.0 引入了區域性型別的概念。區域性型別允許我們將乙個類 結構或介面分成幾個部分,分別實現在幾個不同的.cs檔案中。區域性型別適用於以下情況 color red 1 型別特別大,不宜放在乙個檔案中實現。2 乙個型別中的一部分 為自動化工具生成的 不宜與我們...
sql優化 exists,in關鍵字
對外表用loop逐條查詢,每次查詢都會檢視exists的條件語句,當 exists裡的條件語句能夠返回記錄行時 無論記錄行是的多少,只要能返回 條件就為真,返回當前loop到的這條記錄,反之如果exists裡的條 件語句不能返回記錄行,則當前loop到的這條記錄被丟棄,exists的條件就像乙個bo...