1.这题是GET请求,输入?id=1,登录成功,并且界面说过滤所有 ‘or’ 和 ‘and’,最下面显示出我们提交过滤后的参数。2.当输入 ?id=1' 时报错了,说明可能存在sql注入,闭合符是单引号3.当我输入 ?id=1' or 1=1# 时,没有登录成功,查看下面的提示原来是过滤了 or,连 # 注释符也被禁用了。但是 -- 注释符可以用4.使用不了 order by,因为 or 被...