平何去何

摘要： 先看拼接sql语句的那些部分来判断是否存在注入 $id=$_GET['id']; $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 明显是通过'进行封闭（不包括括号，双引之类的） 在根据对错误的处理来判断sql注入的类型 处理代码如下 这里看到 阅读全文