我正在使用Damn Vulnerable Web App对抗Microsoft SQL Server。我的问题实际上很简单,但很容易被误解。基本上。这是我的问题:
+AND+1=convert(int,
(select+
top+1+
user+
from+
TBL-Users
)
)--
现在我的问题很简单。这是从列中提取数据的查询。我如何制作它以便它允许我从该列中提取数据?因为显然,我不喜欢我在这个查询中使用' - '字符(但这是表名)。
根据这个错误:
[Microsoft] [ODBC SQL Server驱动程序] [SQL Server]第1行:不正确 ' - '附近的语法。
我如何解决这个问题,并从列中获取数据,假设' - '字符在表名中?
答案 0 :(得分:0)
在SQL-Server中,您基本上可以使用[]:
中的大多数保留字和特殊字符select * from [TBL-Users]