sqli-labs：Less-17

Less-17实验主要是：基于错误的更新查询POST注入

首先我们先测试一下功能。
我们输入正确的username，则会返回更新成功的信息。例如username输入admin，password输入123456

我们再输入错误的username，则会返回无法更新的信息。例如username输入abc，password输入123456

从源代码中我们也能看到这样的情况：

所以这里要保证username是正确的，在password位置才能注入。我们在username位置输入admin，密码输入 '

这里我们看到有报错信息显示出来了，那我们就可以用前面的报错注入来进行，password位置输入：
' and extractvalue(1,concat(0x7E,(select database()),0x7E))#

这样就可以把数据库名称暴出来了。