Sqli-labs介绍、下载、安装
《mysql注⼊天书》之
SQLI和sqli-labs介绍
SQLI,sql injection,我们称之为sql注⼊。何为sql,英⽂:Structured Query Language,叫做结构化查询语⾔。常见的结构化数据库有MySQL,MS SQL ,Oracle以及Postgresql。Sql语⾔就是我们在管理数据库时⽤到的⼀种。在我们的应⽤系统使⽤sql语句进⾏管理应⽤数据库时,往往采⽤拼接的⽅式形成⼀条完整的数据库语⾔,⽽危险的是,在拼接sql语句的时候,我们可以改变sql语句。从⽽让数据执⾏我们想要执⾏的语句,这就是我们常说的sql注⼊。
原理性的东西我们这⾥就不进⾏详细的讲解了,从sqli-labs以下的每⼀个关卡中,你能真正体会到什么是sql注⼊。Ps:有些朋友对⼯具⽐较熟悉,例如sqlmap,可以从sqlmap的⽇志中分析每个关卡的原理。但是我个⼈建议先去了解原理,再去使⽤⼯具。这样在使⽤⼯具的时候你也能深刻的理解⼯具起到了什么样的作⽤。更近⼀步你应该想着如果让你⾃⼰写代码实现攻击,你应该如何写。
Ps:因为本项⼯作我是在多个平台和多个浏览器下进⾏测试的,所以截图等可能会有不同的环境,但是都能说明原理。这⾥就不要吹⽑求疵了。图⽚刚开始有很多都是chrome下截取的,后来发现不是很好看,所以在图⽚上⾯的url全部粘贴。尽量⽤firefox,有hackbar。
mysql下载教程视频
Sqli-labs下载
Sqli-labs是⼀个印度程序员写的,⽤来学习sql注⼊的⼀个游戏教程。博客地址为:
此处考虑到有些朋友不会FQ,遂分享到国内地址。
Ps:不想看视频的可以直接忽略视频,⼝⾳实在脑门疼,此处本来想⾃⼰录视频的,但现在来看,时间⽐较有限
(考虑到安全性问题,就不搬运这个了)
Sqli-labs安装
需要安装以下环境
1. apache+mysql+php
2. Tomcat+mysql+java(部分关卡需要)
如果可以的话,推荐在windows和linux下分别安装:
Windows下可以⽤wamp、phpstudy、apmserv等直接安装,linux下可在⽹上搜索教程进⾏安装。例如ubuntu下,新⼿基本靠软件中⼼和apt-get 进⾏安装。这⾥就不赘述环境的安装了。
我的测试环境是windows下⽤wamp直接搭建的,linux平台⽤ubuntu14.04,apache+mysql+php
同时,在后⾯的⼏个关卡中,需要⽤到tomcat+java+mysql的服务器,此处因已经安装apache+mysql+php,所以我们需要安装tomcat+jre+java连接mysql的jar,具体过程不详细讲解。
Sqli-labs安装
将之前下载的源码解压到web⽬录下,linux的apache为 /var/www/html下,windows下的wamp解压在www⽬录下。
修改sql-connections/db-creds.inc⽂件当中的mysql账号密码
将user和pass修改你的mysql 的账号和密码,访问127.0.0.1的页⾯,点击
进⾏安装数据库的创建,⾄此,安装结束。我们就可以开始游戏了。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。