小编点评

**问题：** ```sql select $_POST['query'] || flag from Flag; ``` **解析：** 这段代码使用 `OR` 运算符将 `$_POST['query']` 和 `flag` 拼接在一起。 * `$_POST['query']` 是用户在表单中输入的文本。 * `flag` 是一个包含 SQL 查询语句的字符串。 当 `flag` 为 `*` 时，`select $_POST['query'] || flag` 将返回所有匹配 `Flag` 表中的字段。然而，`flag` 中包含的字符串 `'*'` 在 SQL 中表示所有字段。因此，这段代码将返回所有字段的值，这可能会导致 SQL 注入。 **解决方案：** 为了避免 SQL 注入，需要使用参数化 SQL 语句。参数化 SQL 语句通过将查询参数绑定到 SQL 语句中来防止 SQL 注入。 **代码示例：** ```php $query = $_POST['query']; $flag = '*'; $sql = "select $query || '$flag' from Flag"; // 执行 SQL 语句 $result = mysqli_query($sql, $conn); ``` **注意：** * 这段代码仅提供解决方案，需要根据实际情况进行修改。 * SQL 注入攻击是一种危险的攻击，应该被严禁。

正文

这一题有点蛋疼，比较难顶

看了别人的write up 也很难get到解题思路，感觉必须要拿到源码进行审计才能解

大佬们猜后端是这么写的

select $_POST['query'] || flag from Flag;

这里使用或来拼接字段名称

那么输入*,1, 用1 || flag得到1，这样拼接出来sql是：

select *,1 from Flag;

得到flag

Array ( [0] => flag{26d6bc25-ce81-4a4c-b24b-8ba243efad8e} [1] => 1 )