手动教你SQL注入实战，力助各位同学收获src

最近发现好多同学不知道怎么搜索有SQL注入的网站,有的同学不知道谷歌语法,也有的同学没有好的谷歌镜像站,今天我就来分享一下,再加上一个实战。

首先先分享一下谷歌镜像站吧，为了同学们方便，我就多分享几个实测好用的吧。

1. https://so.niostack.com/ （推荐）我最喜欢用的

2. https://g.iamcong.com/

3. https://chacha.design/

4. https://www.enow.com/

5. https://www.aolsearch.com/

6. https://lite.qwant.com/

7. https://www.gosearchresults.com/

8. https://seeres.com/

谷歌搜索关键词我下篇会以文案的形式分享哦。

开始实战

找到一个可能存在sql注入的网站。

先用'测试一下。

他报错了哦，可能真的存在注入。

order by 6正常，order by 7报错。

很好，接下来找输出点了。

发现limit 1,1，让他显错不能用，那就and 1=2让他显错吧。

ok,输出点是2和4。
接来下直接输出库名+数据库版本。

库名：qdm164748285_db 数据库版本：5.1.48-log

因为是未授权测试，我就不继续下去咯，小伙伴们加油哦！！!