1.尝试使用单引号进行注入，查看报错回显可知：插入后单引号与前单引号闭合导致后面报错，确定是字符型id=1’2.通过 # 进行注释，结果发现依旧报错id=1' #* 这时需要给 # 进行URL编码，这次页面回显没报错id=1' %23发现注入点，可以使用联合查询语句进行注入。

matesploit框架（Matesploit Framework，MSF）是一个开源工具，由Ruby程序语言编写的模块化框架，主要为后端提供用来测试的端口（如控制台、Web、CLI）。常用为控制台接口，通过该接口可以访问matesploit框架的所有插件（如payloads、利用模块、post模块等），还可使用第三方程序的插件（如sqlmap、nmap等）。这下只需配置靶机IP地址、命名的管道、

存储型是将攻击者在留言板等输入框中输入的恶意代码直接存入数据库中，由于数据库不识别js代码，一旦有用户打开存有恶意代码的网页界面，那么恶意代码就会被从数据库中读出，是一类危害最大的xss攻击。dom型又称self-xss，攻击者利用dom节点的结构在网页中插入一段恶意代码，这段代码被简单处理或未处理后又在网页中的一个位置显示出来，攻击过程中所有恶意代码均在前端执行。在用户点击被攻击者插入恶意代码的