1.GET请求中

这两个可以作为注释使用，来保证使后面的语句不被执行。

在url中，如果是get请求，url中的#是用来知道浏览器动作的，对服务器端无效，所以HTTP请求中不包括#，因此使用#闭合无法注释，会报错。而使用-- (有个空格)在传输过程中空格也会被忽略，导致无法注释，所以在get请求传参注入时才会使用--+的方式来闭合，因为+会被注释为空格。

也可以使用--%20，通过%20作用是把空格转换为urlencode编码格式，不会报错，而%23也是把#转换了，也不会报错。

2.POST请求中

可以直接使用#来进行闭合，最常见的就是表单注入中使用。而--后面必须要有空格而#不需要这是因为使用00注释的时候需要使用空格才能形成有效的sql语句，而#后面可有可没有，这是sql规定的。