it-swarm.com.de

Warum sollten wir in der SQL-Injection manchmal - + anstelle von - verwenden, um den Rest der Abfrage zu kommentieren?

Ich bin auf einige Websites gestoßen, die, als ich -- Zum Kommentieren des Restes der Abfrage verwendete, nicht funktionierten, aber als ich --+ Versuchte, funktionierte es.

In der offiziellen MySQL-Dokumentation gibt es kein --+ Und wir haben nur -- Und zwei andere Möglichkeiten.

Warum passiert das (im Detail)? Ich möchte genau wissen, warum dies manchmal funktioniert und -- Nicht und warum es in der MySQL-Manpage kein --+ Für Kommentare gibt.

27
Richard Jones

Aus der Dokumentation:

Von einer - Sequenz bis zum Ende der Zeile. In MySQL muss für den Kommentarstil doppelter Bindestrich) der zweite Bindestrich --- (gefolgt von mindestens einem Leerzeichen oder ein Steuerzeichen (z. B. ein Leerzeichen, ein Tabulator, eine neue Zeile usw.) sein. Diese Syntax unterscheidet sich geringfügig von der Standard-SQL-Kommentarsyntax, wie in Abschnitt 1.8.2.4, „'-' als Beginn eines Kommentars“ erläutert.

(Hervorhebung von mir)

Viele URL-Decoder behandeln + als Leerzeichen.

56
AndrolGenhald