Il motivo dei diversi risultati è che la prima iniezione interrompe il resto della query tramite il commento ( --
).
L'ultima iniezione probabilmente non restituisce nulla perché non è valida e causa un errore (a causa della percentuale non chiusa '
).
La query in cui ti stai iniettando probabilmente ha una struttura come questa:
... WHERE foo='your input' OR bar='something else'
Non deve essere esattamente così, ma sappiamo che ci deve essere qualcosa dopo il punto in cui stai iniettando.
Naturalmente, teoricamente potrebbe anche essere che la ricerca restituisca legittimamente quei risultati e non vi sia alcuna iniezione (in questo caso è improbabile). Dovresti provare anche altre iniezioni, come ' and '1'='1
, ' and sleep(10)-- -
, in realtà estrarre dati, ecc.