摘要： 刚看到题目，上面写着过滤了很多，所以要注意 试探性地先在两个参数后面加单引号来测试注入点，发现两个都可以，我选择了后者 在使用#和--+时发现#被过滤，因为用#时它没有报错，但是--+报错了，所以只能用--+ 在‘后加order by 1语句时发现返回der 1 ，证明or 和 by 都被过滤掉了， 阅读全文