1.下载SQLi-Labs:您可以从GitHub上下载SQLi-Labs的代码并将其解压缩到您的本地计算机上。
2.安装PHPStudy:您可以从PHPStudy官网下载适用于您操作系统的安装程序,然后按照提示完成安装。
3.将SQLi-Labs移动到PHPStudy的web目录:将解压缩的SQLi-Labs文件夹移动到PHPStudy安装目录下的www或者htdocs文件夹中。
4.创建SQLi-Labs数据库:在PHPStudy的MySQL管理页面中,创建一个名为“sqli”的数据库,并将SQLi-Labs中的“db_structure.sql”文件导入到该数据库中。
5.启动PHPStudy的Apache和MySQL服务:在PHPStudy控制面板中,启动Apache和MySQL服务。
6.访问SQLi-Labs:在浏览器中输入“http://localhost/sqli-labs/”,能够看到SQLi-Labs的欢迎页面。
7.第一关
提示你输入数字值的ID作为参数,输入?id=1
输入的内容是带入到数据库里面查询
判断sql语句是否是拼接,且是字符型还是数字型
根据结果指定是字符型且存在sql注入漏洞。因为该页面存在回显,所以我们可以使用联合查询。联合查询原理简单说一下,联合查询就是两个sql语句一起查询,两张表具有相同的列数,且字段名是一样的。