2402_84665417的博客

通过注入点，尝试获取数据库用户名user()、数据库名称database()、连接数据库用户权限、操作系统信息、数据库版本等相关信息。：通过用户输入的数据未严格过滤，将恶意SQL语句拼接到原始查询中，从而操控数据库执行非预期操作。：页面无显式数据回显，但会根据SQL执行结果返回不同状态（如内容长度、布尔值）。：利用数据库函数故意触发错误，将查询结果回显到报错信息中。），观察页面响应差异，逐字符猜测数据。：参数为字符串类型，需用单引号闭合。通过获取的用户信息，寻找后台登录。：参数为整数类型，无需引号闭合。