进入题目 url中 id=1 瞩目 加上题目为sql对id为注入点开启搞! 小试以下,果然被过滤了… 开启burp看看哪些字被过滤!------果然该过滤的都过滤了。。。 具体大概过滤了 or ;and ;select ;order by ;url编码也不行-.- 试一下/**/分割关键字 无用… 头疼了很久,发现<>可以绕过,盲猜可能是设置了代码过滤<>防止xss 剩下的就好办了,如下: