什么是SQL注入

SQL注入，就是通过把SQL命令插入到Web请求中，比如：

表单提交、输入域名、页面请求的查询字符串等

最终达到欺骗服务器执行恶意的SQL命令，进一步获取服务器数据。

具体来说，它是利用现有应用程序，将(恶意的)SQL命令注入到后台数据库平台执行的能力，它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。

本文旨在搭建SQL注入测试环境，方便日后的web渗透！你可以关注作者，获取web渗透相关技术。

SQL-labs

sqli-labs是一款学习SQL注入的开源平台，共有75种不同类型的注入。也是我们学习SQL注入不可或缺的练习平台，该平台以数据库的形式形成打包源码文件，我们可以直接将下载好的sqli-labs文件粘贴到之前win7搭建的WAMP web平台上。

【下载SQL-labs】

sql-labs安装包已经放在了我们【web网站渗透实战指南】的本课云盘共享中，如需获取，评论区请留言！

我们直接从网盘上下载sql-labs到win7靶机，然后解压（安装WAMP web平台的win7中）

进入Sql注入平台目录，将最里面的目录"sql-labs-master"重命名为"sql"。

然后将这个修改后的sql文件夹复制到win7靶机的web目录下www中（wamp就是win7的web目录）

【导入sql平台数据库】

打开win7的数据库管理软件"phpmyadmin"，在数据库中新建名为"security"数据库，并且将刚刚源码中的sql-lab.sql文件导入到数据库中。

如果win7靶机有过重启，就需要重新双击桌面的W图标开启WAMP web平台，直到右下角W图标变成绿色，而且显示服务器在线！

打开phpmyadmin数据库管理页面，点击数据库，写入"security"，点击创建，左边数据库列表就会多出"security"。

点击左边的"security"，点击右边导航栏中的导入，导入win7 www目录下sql目录下的sql-lab.sql数据库文件，点击打开！

导入之后，点击页面下"执行"，就会显示正在上传，并且出现这个页面！

到此导入sql数据库完成。

【修改sql配置信息】

打开sql-connections文件夹中的db-creds.inc文件，使用文本编辑器修改账号、密码、库名信息（保持默认，不做修改）

修改后，按下ctrl+s保存即可！

浏览器打开"127.0.0.1/sql"（这是win7本地访问sql），进入sql平台验证页面，点击第一个链接，如图，显示sql数据库已经成功导入安装。

到此，我们已经在win7中WAMP web应用平台上成功安装了SQL注入平台。大家一定要严格按视频来操作，我们离web渗透实战越来越近了。另外，你的win7 c盘下的WAMP目录，有个www文件夹，里面的文件夹形式必须是这样，也就是说之前我们放入了dvwa，还有今天的安装的sql。

web安全我想说

更多kali渗透、Web渗透、Android/ target=_blank class=infotextkey>安卓渗透等相关技术。请关注小白嘿客，私信获取。欢迎在下方评论区留言讨论！