1.注入正常的参数,网页回显正常信息。注入单引号对参数进行闭合,网页虽然返回了正确的信息,但是对单引号进行了转义。仍让使用 %df 把斜杠吃掉,网页返回错误信息。
uname=%df‘&passwd=&submit=Submit
2.把后面的内容注释掉,网页回显登录失败,说明此处有单引号闭合的字符型注入。
uname=admin%df‘--+&passwd=&submit=Submit
3.尝试爆数据库用户名和密码
原文:https://www.cnblogs.com/chensicha/p/15267863.html