这里是具有sql注入漏洞的，它这里没有限定条件，直接运用简单的sql注入把隐藏的flag找出来就行。

在用户ID出输入9999' or id = '26

因为$sql = "select username,password from user where username != 'flag' and id = '      ".limit;"

username若是对于flag就会被屏蔽、隐藏（没有办法去改变username!=flag），但是会发现ID排序是有顺序的，就可以慢慢试id = 25,id = 26......发现id=26时，flag会出来。