kevin_bruce

摘要： 在做题页面输入账号为admin，密码随便输入一个，提示密码错误。此外username和password竟然用get方法传输，我很意外，不过倒是方便了测试。 接着更换密码为'or''='，结果为： 登录成功，但是并没有什么用，没有flag，只能说明这里可以注入，单引号和or没有过滤。 接下来进行sql 阅读全文