什么是SQL注入

SQL注入，就是通過把SQL命令插入到Web請求中，比如：

表單提交、輸入域名、頁面請求的查詢字符串等

最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令，進一步獲取服務(wù)器數(shù)據(jù)。

具體來說，它是利用現(xiàn)有應(yīng)用程序，將(惡意的)SQL命令注入到后臺數(shù)據(jù)庫平臺執(zhí)行的能力，它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫。比如先前的很多影視網(wǎng)站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL注入式攻擊。

本文旨在搭建SQL注入測試環(huán)境，方便日后的web滲透！你可以關(guān)注作者，獲取web滲透相關(guān)技術(shù)。

SQL-labs

sqli-labs是一款學(xué)習(xí)SQL注入的開源平臺，共有75種不同類型的注入。也是我們學(xué)習(xí)SQL注入不可或缺的練習(xí)平臺，該平臺以數(shù)據(jù)庫的形式形成打包源碼文件，我們可以直接將下載好的sqli-labs文件粘貼到之前win7搭建的WAMP web平臺上。

【下載SQL-labs】

sql-labs安裝包已經(jīng)放在了我們【web網(wǎng)站滲透實戰(zhàn)指南】的本課云盤共享中，如需獲取，評論區(qū)請留言！

我們直接從網(wǎng)盤上下載sql-labs到win7靶機，然后解壓（安裝WAMP web平臺的win7中）

進入Sql注入平臺目錄，將最里面的目錄"sql-labs-master"重命名為"sql"。

然后將這個修改后的sql文件夾復(fù)制到win7靶機的web目錄下www中（wamp就是win7的web目錄）

【導(dǎo)入sql平臺數(shù)據(jù)庫】

打開win7的數(shù)據(jù)庫管理軟件"phpmyadmin"，在數(shù)據(jù)庫中新建名為"security"數(shù)據(jù)庫，并且將剛剛源碼中的sql-lab.sql文件導(dǎo)入到數(shù)據(jù)庫中。

如果win7靶機有過重啟，就需要重新雙擊桌面的W圖標(biāo)開啟WAMP web平臺，直到右下角W圖標(biāo)變成綠色，而且顯示服務(wù)器在線！

打開phpmyadmin數(shù)據(jù)庫管理頁面，點擊數(shù)據(jù)庫，寫入"security"，點擊創(chuàng)建，左邊數(shù)據(jù)庫列表就會多出"security"。

點擊左邊的"security"，點擊右邊導(dǎo)航欄中的導(dǎo)入，導(dǎo)入win7 www目錄下sql目錄下的sql-lab.sql數(shù)據(jù)庫文件，點擊打開！

導(dǎo)入之后，點擊頁面下"執(zhí)行"，就會顯示正在上傳，并且出現(xiàn)這個頁面！

到此導(dǎo)入sql數(shù)據(jù)庫完成。

【修改sql配置信息】

打開sql-connections文件夾中的db-creds.inc文件，使用文本編輯器修改賬號、密碼、庫名信息（保持默認，不做修改）

修改后，按下ctrl+s保存即可！

瀏覽器打開"127.0.0.1/sql"（這是win7本地訪問sql），進入sql平臺驗證頁面，點擊第一個鏈接，如圖，顯示sql數(shù)據(jù)庫已經(jīng)成功導(dǎo)入安裝。

到此，我們已經(jīng)在win7中WAMP web應(yīng)用平臺上成功安裝了SQL注入平臺。大家一定要嚴格按視頻來操作，我們離web滲透實戰(zhàn)越來越近了。另外，你的win7 c盤下的WAMP目錄，有個www文件夾，里面的文件夾形式必須是這樣，也就是說之前我們放入了dvwa，還有今天的安裝的sql。

web安全我想說

更多kali滲透、Web滲透、Android/ target=_blank class=infotextkey>安卓滲透等相關(guān)技術(shù)。請關(guān)注小白嘿客，私信獲取。歡迎在下方評論區(qū)留言討論！