以MySQL为例,首先我们知道mysql注释符有#.-- (后面有空格)./**/三种,在SQL注入中经常用到,但是不一定都适用.笔者在sqlilabs通关过程中就遇到不同场景用的注释符不同,这让我很疑惑,让我们来深入挖掘一番(篇幅比较长,省时间可以跳到最后看结论). 以第一关(GET提交方式)和第十一关(POST提交方式)为例,从前端--数据传输--数据库查询命令三方面讲解: 目录(本文篇幅较长,点击目录跳转) 一.注释符:-- (后面有空格)(也就是--+) 二.注释符:# 三.注释符:/*…
这两天为了做报表,研究了一下XtraReport .为了添加空行,想了很多办法.其中如果有分组时,网上给出的办法就会失败.现将经验公布一下,希望各位都能少走弯路. 1.加入自定义函数CreateCellArray,用于创建空行.2.生成报表的 FillEmptySpace 事件,填写如下代码.3.tableDetail 是指细节 区带4.****注意,如果有分组,必须将分组PrintAtBottom设置为true,就是将其下沉. private void CreateCellArray(XRTa…
题目:计算给出代码中注释.代码.空行的行数 来源:网络 思路:注释行以 ‘#’开头,空行以 ‘\n’ 开头,以此作为判断 def count_linenum(fname): fobj = open(fname,"rU") #print fobj.readlines() count_blankline = 0 count_notes = 0 count_code = 0 for eachLine in fobj: if eachLine[0] == '\n': count_blankli…
mysql注释符有三种:1.#...(注释至行末,推荐)2.-- ...(两条短线之后又一个空格)3./*...*/(多行注释) 1.…
一:java的基本信息 jre 是指java运行环境,jdk 是指 java 开发工具集(并且里面是自带有jre运行环境的) jvm是指java的虚拟机 java的源代码的后缀名是 .java (例如  demo.java )  编译后的文件的后缀名是 .class (使用 javac demo.java 来编译这个源代码文件,会生成一个 demo.class 文件,然后我们再使用  java  demo命令(实际会指 java.exe运行了 demo.class文件),就可以在控制台下面,执行…
第二十三关: 这关还是一个GET型.字符串.单引符号.的有报错的sql注入,输入?id=1'  ,页面会报错 我们继续按照之前的套路来,先输入?id=1' or '1'='1 页面正常显示,说明这个地方又很有可能存在sql注入.继续输入?id=1' or  '1'='1' %23 发现页面居然报错,从报错信息中发现我们的注释符居然没了,说明后台对注释符中做了过滤. 像这种情况,没办法用注释隔断后面的sql语句,就只能用闭合的方法了.但是这里有一点就是,实际测试中,不知道表的行数,而这里又不能使用…
开始挑战第二十五关(Trick with OR & AND) 第二十五关A(Trick with comments) 0x1先查看源码 (1)这里的or和and采用了i正则匹配,大小写都无法绕过 (2)看下mysql逻辑运算符,and和or还可以使用&&和||,如下图: 0x2开始测试 (1)首先使用or和and看看,直接被过滤了 (2)那就直接改为||  &&利用,成功 (3)或者采用双写的方式来绕过oorr 剩下的注入方式都和以前同样,就不测试了.......…
注意使用 @ 符 # 是整行注释符 @ 是行内注释符 以为 @ 是行内注释符,害我调试了半天.…
前言 十天前知乎上有人提问 python:openpyxl模块怎么给表格添加分页符?实现分页打印功能?,看到问题之后,我很快的给他了一个如何添加垂直分页符或水平分页符的示例,你以为问题就结束了?我是这么以为的,但是事实证明,我太天真了,就在我给出示例的几分钟后,他在我的回答下评论了,说是同时添加垂直分页符和水平分页符失败了. 我当时的第一反应: 心里想着,肯定是他的写法有问题,毫不犹豫的回复到," 没有试过同时添加两种分页符的操作,默认是水平分页符,如果你先添加了垂直分页符的话,应该后面需要重新…
1.地址:http://ctf5.shiyanbar.com/web/index_2.php(过滤了空格和--+等注释符) 思路:确定注入参数值类型,直接输入单引号,根据报错信息确定参数值类型为字符型,如下图所示. 2.正常思路输入' or '1'='1,直接报错,信息为SQLi detected!,首先猜测or被过滤,直接去掉or,继续输入' '1'='1, 仍然报错,信息为SQLi detected!,猜测空格被过滤,直接输入’or‘1’=‘1,如下图所示,确定空格被过滤. 3.尝试使用多行…