首先我们先看到题目,我们由题意可知是sql注入
于是用 ’ 试试
然后我们尝试一些注入的常用的词汇
发现都被过滤了,但是尝试一下 堆叠注入就可发现
';show tables;#
看了前面大佬的博客可以
绕过关键词过滤
关于MySQL中的预处理语句原理与使用,这篇文章讲解的比较详细:MySQL的SQL预处理(Prepared)本题中由于可以使用堆叠查询,并且需要使用SELECT关键字并绕过过滤,因此想到利用字符串转换与拼接构造语句最后执行,这时就可以使用预处理语句。
预处理语句使用方式: