SQL注入绕过常用注释：#、 --+、 --%20、 %23

1.# 和 -- （有个空格）表示注释，可以使它们后面的语句不被执行。在url中，如果是get请求(记住是get请求，也就是我们在浏览器中输入的url) ，解释执行的时候，url中#号是用来指导浏览器动作的，对服务器端无用。所以，HTTP请求中不包括#，因此使用#闭合无法注释，会报错；而使用-- （有个空格），在传输过程中空格会被忽略，同样导致无法注释，所以在get请求传参注入时才会使用--+的方式来闭合，因为+会被解释成空格。

2.当然，也可以使用--%20，把空格转换为url encode编码格式，也不会报错。同理把#变成%23,也不报错。

3.如果是post请求，则可以直接使用#来进行闭合。常见的就是表单注入，如我们在后台登录框中进行注入。

4.为什么--后面必须要有空格，而#后面就不需要？
因为使用--注释时，需要使用空格，才能形成有效的sql语句，而#后面可以有空格，也可以没有，sql就是这么规定的，记住就行了。
因为不加空格，--直接和系统自动生成的单引号连接在了一起，会被认为是一个关键词，无法注释掉系统自动生成的单引号。