环境准备：构建完善的安全渗透测试环境：推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客

一、注入原理：

对于后台来说，delete操作通常是将对应的id传递到后台，然后后台会删除该id对应的数据。

如果后台没有对接收到的 id 参数进行充分的验证和过滤，恶意用户可能会利用这一点进行注入攻击。

二、注入演示

使用pikachu靶场练习

使用bp对删除操作抓包

因为靶场的源码没有对这个传入的id做过滤，所以这个位置存在注入点，我们先将抓到的删除请求发送到重发器，然后在id后面加上反斜杠再次删除，就会出现sql的错误提示