sql注入 [极客大挑战 2019]HardSQL1

打开题目

输入1或者1"，页面均回显NO,Wrong username password！！！

那我们输入1'

试试万能密码

1' or 1=1 #

输入1' and 1=2 #

输入1' union select 1,2,3 #

输入1' ununionion seselectlect 1,2,3 #

输入1' #

输入1'=#

页面依旧回显

说明页面过滤了=号，空格，union

知识点：

• 什么是xml？

XML 指可扩展标记语言，是一种很像HTML的标记语言（XML 不是 HTML 的替代），XML 的设计宗旨是传输数据，而不是显示数据。XML 标签没有被预定义。用户可以自行定义标签。XML 被设计为具有自我描述性。

• 但xml不会对数据内容做任何事情

下面实例是 Jani 写给 Tove 的便签，存储为 XML：

Tove
Jani
Reminder
Don't forget me this weekend!

上面的这条便签具有自我描述性。它包含了发送者和接受者的信息，同时拥有标题以及消息主体。但它仍然没有做任何事情，仅仅是包装在 XML 标签中的纯粹的信息。我们需要编写软件或者程序，才能传送、接收和显示出这个文档

 xml可以让用户自定义自己的标签

• xml和html有什么区别？