Computerbeveiliging - Hoe je bad guys buiten de deur houdt

SQLi comment -- -

13-05-2020, 20:37 door Anoniem, 3 reacties
Mensen, ik heb een SQLi die alleen werkt als ik de query afsluit met -- -
Als ik een comment nodig heb sluit ik mijn query normaal af met -- of #
Ik snap het idee van het gebruiken van een comment in een sqli maar waarom drie streepjes met een spatie bij het voorlaatste streepje (-- -)?

Wie weet dit?
Reacties (3)
13-05-2020, 23:00 door Anoniem
Bij MySQL moet er een spatie achter de --. Het laatste minnetje kan je waarschijnlijk ook vervangen door iets anders.

https://dev.mysql.com/doc/refman/8.0/en/comments.html
14-05-2020, 08:13 door Anoniem
Door Anoniem: Mensen, ik heb een SQLi die alleen werkt als ik de query afsluit met -- -
Als ik een comment nodig heb sluit ik mijn query normaal af met -- of #
Ik snap het idee van het gebruiken van een comment in een sqli maar waarom drie streepjes met een spatie bij het voorlaatste streepje (-- -)?

Wie weet dit?

Leuke vraag :) Dit komt doordat de comment sign in mysql min-min-SPATIE is. (min-min-spatie). Ik gok dat je de comment sign ergens invoert waar whitespace aan het einde van de regel gestripped wordt (zoals bijvoorbeeld in de adresbalk van je browser). Hiervoor voeg je dus het derde teken toe om dit te voorkomen. Theoretisch zou min-min-spatie-WHATEVER net zo goed moeten werken!
14-05-2020, 14:31 door Anoniem
Dank beiden, verhelderend!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.