首先使用抓包将题抓进去分析,一眼看过去就是SQL注入,这里用户名密码都可以乱写 使用万能密码' or 1=1# 未回显,思考是不是过滤,在网上搜索过滤绕过方法,常用使用注释符/**/ 绕过再次尝试,回显成功