限制条件如下：

（1）、Web应用程序未关闭数据库报错函数，对于一些SQL语句的错误直接回显在页面上

（2）、后台未对一些具有报错功能的函数（例：extractvalue、updatexml等）进行过滤

（3）、通过构造特定的SQL语句，让攻击者想要查询的信息（如数据库名、版本号、用户名等）通过页面的错误提示回显出来

我们需要知道以上条件是否被限制，如果没有，我们才能使用报错注入。