常用的SQL手工注入方式方法

1、第一步，双击"phpstudy"软件，运行phpstudy。并通过浏览器登陆dvwa测试环境，默认用户名是admin，密码是password.

4、第四步，在sql注入环境的输入框中，输入"1"，点击submit提交。可以看到页面会显示红色的反馈信息。

6、第六步，点击hackbar插件的按钮“Load URL"，将地址栏的链接加载到hackbar的输入框中，点击按钮“Split URL”，将地址栏的链接按照参数的规律进行分隔。

8、第八步，对url的id参数使用 order by 1' ，order by 10&拭貉强跳#39;进行测试，对反馈的结果，使用二分法测试，即使用order by 5&#泌驾台佐39;等继续测试，发现最终是两条数据。

10、第十步，对url的id参数使用id=xx'+union+select+1,table_name+from+information_schema.tables+where +table_schema='dvwa'--+进行测试，可以获得数据库的信息，发现其中有一张数据表名是user。

12、第十一步，对url的id参数使用id=xx'+union+select+user,password+from+users--+进行测试，可以获得用户名和密码的哈希值。