SQL注入

可能存在SQL注入的地方？

与数据库有交互，一般都存在注入

判断条件：

参数用户可控

参数可带入数据库查询

手动注入的流程：

1、判断注入点

2、判断字段数

如数据库某一张表，有三个字段，字段数即为3，第一列对应1，第二列对应2，依次类推。

 用order by进行排序操作；order by N 从1开始逐渐递增，直到报错，   N-1就为总列数。

3、判断回显点

回显就是显示在页面上的地方，找到回显位置后，再将列名修改为需要显示的字段

 4、查询相关内容