部分源码如下:
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
echo "<font size='5' color= '#99FF00'>";
echo 'Your Login name:'. $row['username'];
echo "<br>";
echo 'Your Password:' .$row['password'];
echo "</font>";
}
else
{
echo '<font color= "#FFFF00">';
print_r(mysql_error());
echo "</font>";
}
}
else { echo "Please input the ID as parameter with numeric value";}
?>
由源码可知,此处没对传入的值进行过滤,且查询语句是字符型,所以可以用 ’ 闭合前面的单引号,后面跟上所要查询的语句
1)首先判断有几个字段 ’ order by 1–+ (数字代表字段的个数,#,–+代表注释符后面的 LIMIT 0,1 语句不用执行了),字段正确页面正常,否则不正常,此处字段有三个。
2)然后跟上想查询的语句 union select 1,user(),3–+(要让语句先报错,在回显数字的地方写查询语句)
注意点:
字符型查询语句,’'引号内的所有内容都将看成一个整体,如果数据库中有匹配则将其查询出来,如果没有,mysql会将 2 and 1=2 转换成2查询