摘要： 这次username和password都进行了输入校验 但是ip和uagent没有校验 当我们用admin admin登陆成功后，就会一条插入语句 由于程序无条件的信任了浏览器的header信息，那么通过修改http包的header信息构造注入 使用burpsuite进行包拦截/修改 修改user- 阅读全文