【无标题】

1.下载SQLi-Labs:您可以从GitHub上下载SQLi-Labs的代码并将其解压缩到您的本地计算机上。

2.安装PHPStudy:您可以从PHPStudy官网下载适用于您操作系统的安装程序,然后按照提示完成安装。

3.将SQLi-Labs移动到PHPStudy的web目录:将解压缩的SQLi-Labs文件夹移动到PHPStudy安装目录下的www或者htdocs文件夹中。

【无标题】_第1张图片

【无标题】_第2张图片

4.创建SQLi-Labs数据库:在PHPStudy的MySQL管理页面中,创建一个名为“sqli”的数据库,并将SQLi-Labs中的“db_structure.sql”文件导入到该数据库中。

【无标题】_第3张图片

5.启动PHPStudy的Apache和MySQL服务:在PHPStudy控制面板中,启动Apache和MySQL服务。

【无标题】_第4张图片

6.访问SQLi-Labs:在浏览器中输入“http://localhost/sqli-labs/”,能够看到SQLi-Labs的欢迎页面。

【无标题】_第5张图片

7.第一关

判断是否存在sql注入

提示你输入数字值的ID作为参数,输入?id=1

【无标题】_第6张图片

输入的内容是带入到数据库里面查询

判断sql语句是否是拼接,且是字符型还是数字型

根据结果指定是字符型且存在sql注入漏洞。因为该页面存在回显,所以我们可以使用联合查询。联合查询原理简单说一下,联合查询就是两个sql语句一起查询,两张表具有相同的列数,且字段名是一样的。

你可能感兴趣的:(安全)