sql字符型型

部分源码如下：

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

	if($row)
	{
  	echo "<font size='5' color= '#99FF00'>";
  	echo 'Your Login name:'. $row['username'];
  	echo "<br>";
  	echo 'Your Password:' .$row['password'];
  	echo "</font>";
  	}
	else 
	{
	echo '<font color= "#FFFF00">';
	print_r(mysql_error());
	echo "</font>";  
	}
}
	else { echo "Please input the ID as parameter with numeric value";}

?>

由源码可知，此处没对传入的值进行过滤，且查询语句是字符型，所以可以用 ’ 闭合前面的单引号，后面跟上所要查询的语句

1）首先判断有几个字段 ’ order by 1–+ （数字代表字段的个数，#,–+代表注释符后面的 LIMIT 0,1 语句不用执行了），字段正确页面正常，否则不正常，此处字段有三个。

2）然后跟上想查询的语句 union select 1,user(),3–+（要让语句先报错，在回显数字的地方写查询语句）

注意点：

字符型查询语句，’'引号内的所有内容都将看成一个整体，如果数据库中有匹配则将其查询出来，如果没有，mysql会将 2 and 1=2 转换成2查询