因为一些前辈的教导,以及自身的体会。觉得一开始学习注入虽然工具用着方便,但也省略了很多细节,不太能够真正明白注入是如何发生的如何才能灵活运用。所以决定还是从手工开始,慢慢加深对注入的理解吧。有很多学习平台可以练习注入,这里选用Sqli Labs。
SQLi Labs,是一个可以从https://github.com/Audi-1/sqli-labs免费下载,以便我们研究学习安全的程序。本文主要以这个程序为平台,来进行sql注入的学习。
安装
- 从https://github.com/Audi-1/sqli-labs下载源代码
- 自己随便搭建个web服务器,比如可以使用wamp这种集成环境包
- 将源代码复制到web服务器网站的根目录文件夹下
- 打开sql-connections文件夹下的“db-creds.inc”文件
- 修改mysql用户名和密码为你自己的
- 打开浏览器,通过localhost的index.html访问文件夹
- 点击setup/resetDB 链接在你的mysql中创造数据库
- 此外,可以在你练习的那个文件的源码中加入一句话:
echo"$sql.<br>";可以显示注入时进行的sql语句,方便大家学习。
比如第一个练习:../less-1/index.php
1
- 开始游戏!
