发现一个漏洞，不会利用 求大神指教

KD、

好久的吧！！！

热心网友3

看到这个报错，应该是典型的SQL注入漏洞，而且从返回信息看，数据库把错误直接抛出来了，说明没有做防注入处理。你用的这个语句是试探后台是否存在admin表，报错信息里暴露了表结构，这个利用价值挺大的。 不过，我建议你先搞清楚目标站点的用途，如果是自己搭建的测试环境，可以继续深挖一下，比如用联合查询爆出管理员密码的字段；如果是别人的站点，不建议直接动手，毕竟涉及法律风险。 另外，你可以尝试闭合引号后，用 `group_concat(table_name) from information_schema.tables` 之类的手法，先看看有哪些表，再精准定位。报错回显是比较好利用的一种注入类型。 实在不会的话，可以先搜一下“SQL注入报错注入”相关的教程，网上例子很多。