什么是SQL注入

SQL注入，就是通過把SQL命令插入到Web請求中，比如：

表單提交、輸入域名、頁面請求的查詢字符串等

最終達到欺騙服務器執行惡意的SQL命令，進一步獲取服務器數據。

具體來說，它是利用現有應用程序，將(惡意的)SQL命令注入到后臺數據庫平臺執行的能力，它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網站上的數據庫。比如先前的很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL注入式攻擊。

本文旨在搭建SQL注入測試環境，方便日后的web滲透！你可以關注作者，獲取web滲透相關技術。

SQL-labs

sqli-labs是一款學習SQL注入的開源平臺，共有75種不同類型的注入。也是我們學習SQL注入不可或缺的練習平臺，該平臺以數據庫的形式形成打包源碼文件，我們可以直接將下載好的sqli-labs文件粘貼到之前win7搭建的WAMP web平臺上。

【下載SQL-labs】

sql-labs安裝包已經放在了我們【web網站滲透實戰指南】的本課云盤共享中，如需獲取，評論區請留言！

我們直接從網盤上下載sql-labs到win7靶機，然后解壓（安裝WAMP web平臺的win7中）

進入Sql注入平臺目錄，將最里面的目錄"sql-labs-master"重命名為"sql"。

然后將這個修改后的sql文件夾復制到win7靶機的web目錄下www中（wamp就是win7的web目錄）

【導入sql平臺數據庫】

打開win7的數據庫管理軟件"phpmyadmin"，在數據庫中新建名為"security"數據庫，并且將剛剛源碼中的sql-lab.sql文件導入到數據庫中。

如果win7靶機有過重啟，就需要重新雙擊桌面的W圖標開啟WAMP web平臺，直到右下角W圖標變成綠色，而且顯示服務器在線！

打開phpmyadmin數據庫管理頁面，點擊數據庫，寫入"security"，點擊創建，左邊數據庫列表就會多出"security"。

點擊左邊的"security"，點擊右邊導航欄中的導入，導入win7 www目錄下sql目錄下的sql-lab.sql數據庫文件，點擊打開！

導入之后，點擊頁面下"執行"，就會顯示正在上傳，并且出現這個頁面！

到此導入sql數據庫完成。

【修改sql配置信息】

打開sql-connections文件夾中的db-creds.inc文件，使用文本編輯器修改賬號、密碼、庫名信息（保持默認，不做修改）

修改后，按下ctrl+s保存即可！

瀏覽器打開"127.0.0.1/sql"（這是win7本地訪問sql），進入sql平臺驗證頁面，點擊第一個鏈接，如圖，顯示sql數據庫已經成功導入安裝。

到此，我們已經在win7中WAMP web應用平臺上成功安裝了SQL注入平臺。大家一定要嚴格按視頻來操作，我們離web滲透實戰越來越近了。另外，你的win7 c盤下的WAMP目錄，有個www文件夾，里面的文件夾形式必須是這樣，也就是說之前我們放入了dvwa，還有今天的安裝的sql。

web安全我想說

更多kali滲透、Web滲透、Android/ target=_blank class=infotextkey>安卓滲透等相關技術。請關注小白嘿客，私信獲取。歡迎在下方評論區留言討論！