You have an error in your SQL syntax; check the manual thatcorresponds to your MySQL server version for..., 因此就这个单引号就不可能被闭合 , 因此这个时候就会报错 , 也就是刚才我们得到的这个错误
这个时候 , 如果我们继续修改一下查询的id这个参数
这里可以尝试使用MySQL定义的注释关键字
--...id=1%27%23
注意这里我们没有使用到原本的字符'和#
而是将它们URL编码以后再进行参数的传递 , 这里是因为服务器再接收到参数以后会对参数进行一次URL解码
这样的话解码之后刚好就可以拼凑成正常的...SQL语句
还有一个需要注意的地方就是 :
为什么是--+而不是--
这里字符-和字符+在URL中都是有固定的含义的 , 比如说+就在URL编码中就代表空格 , 而URL编码中-不用编码
为什么--..., 大家也可以自己尝试一下 , 会直接报错(语法错误)
好了 , 现在我们尝试访问一下 :
http://localhost/sqli-labs/Less-1/?