5,658
社区成员
发帖
与我相关
我的任务
分享SQL注入特殊字符还要处理 -吗?
我看很多地方都处理-了,-应该不是特殊字符把?比如传递guid或者2018-09-10这样的,或者传递个-1都是合法的啊?请问大神给个解释
...全文
请发表友善的回复…
发表回复
ambit_tsai-微信 2018-08-01
- 打赏
- 举报
SQL中“--”可以 用作单行注释,如:
SQL注入时,“--”可以用来注释掉原有语句,以上面的SQL为例,将aaa替换成“' or 1=1;--”
此时,查询结果会返回所有数据,原限制条件失效。
select * from table where key='aaa' and value='bbb'; -- 注释
SQL注入时,“--”可以用来注释掉原有语句,以上面的SQL为例,将aaa替换成“' or 1=1;--”
select * from table where key='' or 1=1;--' and value='bbb'; -- 注释
此时,查询结果会返回所有数据,原限制条件失效。
