一、搭建靶场

利用docker或者小皮以及xmapp等都可实现搭建

适应此靶场情况，mysql选择5版本，不然会出现报错数据库等问题，php使用phpmyadmin工具情况，可以使用php 5.7版本

二、通过访问域名显示正常，可用服务器映射互联网作为公网靶场

点击重置靶场选项

如果出现问题，默认数据库配置root密码为空，修改和自己设置的密码一致即可

三、靶场实战

less-1，通过下面选项进行选择进入

根据提示给ID赋值，为了方便查看输出语句，源代码中添加了输出

SELECT * FROM users WHERE id='1' LIMIT 0,1

为了方便没有mysql数据库基础的朋友可以看明白，对语句进行了拆分

select *：选择所有列

from users：从users表中选择

where id = '1'：选择ID列中值为1的数据

limit 0,1：从第一行开始取数据，取一行

通过查看数据进行验证

四、代码审计

常规sql注入方式，用单引号进行注入

可通过order by来尝试确认对应列数，实际上从上面的图中已经确认为三列

其中--+作为常规数据库注释方法，用于简单绕过SQL注入的检测机制

如果是错误的列数情况，会展示如下图：

通过union联合注入方式操作，给ID赋予负值，用于执行后面语句

通过concat_ws来实现将用户名密码对应爆出