Question

找到一个SQL注入点？

Answer 1

计算机虽然认得1和2，知道他们的value，但是仍然不清楚他们到底是什么。你告诉服务器，让他显示数据库里wm=2012043533的信息，网页就显示了。你让他显示这个之外，同时告诉他1=1，他同意，正常显示，可是你告诉他1=2，他脑子就崩溃了，怎么1能等于2呢？！网页就不显示原来的信息，而是数据库错误了！如果仅依靠变量的value加and，1＝1和1＝2返回的页面不同做注入点判断，你被网页设计者玩死都不知道怎么死的。已经有很多网站，前台故意引你们这些喜欢用工具的上当，以为从注入点扫出东西来了，去后台，输入，呵呵，总是不对。其实故意记录你的犯罪证据的。至少我见过小日本有很多这么干的。