1. 宽字节注入攻击

1）宽字节注入原理

如下所示，访问id=1’时并没有报错，但多了一个转义符，反斜杠。这就导致了参数id是无法逃逸单引号的包围的，所以一般情况下这里是没有SQL注入漏洞的。

但是如果数据库的编码是GBK的时候，这里就可以使用宽字节注入，宽字节注入的原理是：在地址后先加%df，再加单引号，因为反斜杠的编码是%5c，而GBK编码中，%df%5c是繁体字的“連”，单引号成功逃逸。使用注释符来注释后面多余的单引号。

2）判断是否存在SQL注入