Ho incontrato alcuni siti web che quando ho usato -- per commentare il resto della query non ha funzionato, ma quando ho provato --+ ha funzionato.
Nella documentazione ufficiale di MySQL non esiste qualcosa come --+ e abbiamo solo -- e altri due modi.
Perché questo accade (in dettaglio)? Voglio sapere esattamente perché questo funziona a volte e -- no, e perché non c'è --+ per i commenti nella pagina man di MySQL?
Dalla documentazione:
From a -- sequence to the end of the line. In MySQL, the -- (double-dash) comment style requires the second dash to be followed by at least one whitespace or control character (such as a space, tab, newline, and so on). This syntax differs slightly from standard SQL comment syntax, as discussed in Section 1.8.2.4, “'--' as the Start of a Comment”.
(sottolineatura mia)
Molti decodificatori di URL trattano + come spazio.
Leggi altre domande sui tag sql-injection http mysql