1.GET请求中
这两个可以作为注释使用,来保证使后面的语句不被执行。
在url中,如果是get请求,url中的#是用来知道浏览器动作的,对服务器端无效,所以HTTP请求中不包括#,因此使用#闭合无法注释,会报错。而使用-- (有个空格)在传输过程中空格也会被忽略,导致无法注释,所以在get请求传参注入时才会使用--+的方式来闭合,因为+会被注释为空格。
也可以使用--%20,通过%20作用是把空格转换为urlencode编码格式,不会报错,而%23也是把#转换了,也不会报错。
2.POST请求中
可以直接使用#来进行闭合,最常见的就是表单注入中使用。而--后面必须要有空格而#不需要这是因为使用00注释的时候需要使用空格才能形成有效的sql语句,而#后面可有可没有,这是sql规定的。