实验一
题目直接提醒没有任何防护
一、判断注入类型
是否数字型(满足三个条件)
'有错
and 1=1
正确
and 1=2
错误
是否字符型
两种注入
‘and’1‘=’1`(这里就不要加空格了,养成好习惯)
‘and 1=1#
’and 1=1--+
```bash
...(这个注释的类型有很多*/等,这个可以自行百度)
二、直接进行信息收集
1、字段数量的收集
order by 5–+
order by 5%23(这里不知道为什么把#屏蔽了)
三、爆表、字段
正常操作就好了
实验二、
就是把空白格改成/**/就可以了,这里–+也用不了,就用%23替换
还有就是百度上说空格还可以用%0a替换
实验三、
屏蔽+还有空格 直接换成%23还有/**/就可以了