Menos-17 experimento es: basado en la inyección falsa consulta de actualización de POST
Primero probamos la función. Entramos en el nombre de usuario correcto, actualización de la información tiene éxito se devuelve. Por ejemplo, nombre de usuario administrador de entrada, introducción de la contraseña 123456
Volvimos a entrar en el nombre de usuario incorrecto, no se devolverá la información actualizada. Por ejemplo, nombre de usuario abc de entrada, introducción de la contraseña 123456
A partir del código fuente, podemos ver una situación de este tipo: 
Así que aquí es asegurar la correcta nombre de usuario y contraseña con el fin de inyectar posición. Entramos en la posición de nombre de usuario administrador, introduzca la contraseña '
Aquí vemos un mensaje de error aparece, entonces podemos utilizar la inyección previa de error a, entrada de posición contraseña 'y extractvalue (1, concat (0x7E, (seleccione la base de datos ()), 0x7E)) # 
Esto permite que el nombre de la base de tormenta a cabo.