看输入内容能否让它报错报错看报错判断应该是一个单引号注入查看源码发现这里传参传的是unam和passwd使用hackbar的post工具发送post参数提交也可以用burp来更改post请求将请求设置为重发包 send to repeater然后就可以在repeater里看到我们每次请求的包返回的值了