Sql注入本质是把用户输入都数据当做代码来执行,最终达到欺骗服务器执行恶意的SQL命令。 标题Sql注入的流程: 1、寻找注入点 常见的注入点:网站的用户登录界面,搜索框等 2、判断闭合方式(以sqli-labs靶场的第一、二关为例) 第一关: 可以发现:第一关输入id=1和输入id=1sdgfgkdg显示的内容相同且不报错。 所以:第一关属于字符型,需要判断闭合方式。 判断方法:观察报错信息,去掉两边的分号和输入内容,右边的内容就是其闭合的方式。