SQL注入系列之环境搭建(二)----PHP+Mysql注入环境搭建

最新推荐文章于 2022-05-25 20:41:23 发布
最新推荐文章于 2022-05-25 20:41:23 发布
阅读量6.9k 收藏 8
点赞数 2
分类专栏: SQL注入 文章标签: sql注入 mysql php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011781521/article/details/53931428
版权

一、手写一个带sql注入的页面


php+mysql注入页面编写步骤


1.接受参数
2.连接数据库
3.组合sql语句
4.执行sql语句并返回显示


新建一个sqltest.php的文件、并添加以下代码


//fendo数据库root用户连接mysql数据库,操作user表
<?
$id= $_GET['x'];//接受get传递的参数名x的值并赋值给变量id
$conn = mysql_connect('127.0.0.1','root','root');//连接mysql数据库
mysql_select_db('fendo',$conn);//选择$conn连接请求下的test数据库名
$sql = "select * from user where id=$id";//定义sql语句并组合变量id
$result = mysql_query($sql);//执行sql语句并返回给变量result
while($row = mysql_fetch_array($result)){//遍历数组数据并显示
echo "ID".$row['id']."</br>";
echo "用户名".$row['username']."</br>";
echo "密码".$row['password']."</br>";
}
mysql_close($conn);//关闭数据库连接
echo "<hr>";
echo "当前语句:";
echo $sql 
?>


然后通过phpmyadmin新建一个数据库fendo




并创建user表




然后在user表中加入以下字段id、username、password




点击保存。




插入一些数据




也可以直接导入下面的sql代码


--
-- 数据库: `fendo`
--

-- --------------------------------------------------------

--
-- 表的结构 `user`
--

CREATE TABLE IF NOT EXISTS `user` (
  `id` int(10) NOT NULL,
  `username` varchar(50) NOT NULL,
  `password` varchar(50) NOT NULL
) ENGINE=MyISAM DEFAULT CHARSET=gbk;

--
-- 转存表中的数据 `user`
--

INSERT INTO `user` (`id`, `username`, `password`) VALUES
(1, 'fendo', 'fendo8888'),
(2, 'fendo1', 'fendo8888'),
(3, 'fendo3', 'fendo8888'),
(4, 'fendo4', 'fendo8888'),
(5, 'fendo5', 'fendo8888'),
(6, 'fendo6', 'fendo8888'),
(7, 'fendo7', 'fendo8888'),
(8, 'fendo8', 'fendo8888'),
(9, 'fendo9', 'fendo8888');


二、测试页面


然后访问: http://localhost/sql/sqltest.php?x=1 其中?x=xxxx 就是你要传进入




码农致富
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用PHP实现防止sql注入功能
05-31
使用PHP实现防止sql注入功能 一、 开发环境 1、环境搭建:Windows 7+Apache 2.4.18+MySQL 5.7.11+PHP 7.1.0。 2、文本编辑器:Sublime 3。 、主要技术 本案例主要在PHP中分别使用PDO的quote()方法和prepare()预处理语句来实现防止sql注入的功能。 所谓sql注入,就是通过把sql命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的sql命令。具体来说,它是利用现有应用程序,将恶意的sql命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入恶意的sql语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行sql语句。
本地搭建简单SQL注入环境
热门推荐
endeav_or的博客
08-10 1万+
首先本地要有一个wamp server,因为SQL注入涉及到与数据库交互,所以先从搭建测试数据库开始。       打开mysql console,输入root账户密码登陆。创建一个数据库,并命名为fake,命令如下:create database fake;      因为我之前已经建立好了,这里直接配置fake数据库的用户权限,配置为leon用户访问,且leon用户的密码为leon,命令如下:
中北网安实训笔记-(20200623)-MYSQL(渗透测试课程)mysql详解、命令操作介绍
tonyhapply的博客
07-09 291
下期安排: burp suite修改包中数据或者当做代理使用 A:access数据(Windows)SQL server(微软) B: Oracle(甲骨文)大型数据库 MySQL 社区-》商业付费 C: Mariadb 社区多人维护(免费)Kali Linux A、B、C: 关系型数据库 作用:解决我们应用系统内的复杂关系(内存中部分存储) D: redis mongdb 非关系型数据库(内存中存储,读取速度快,突然断电可以备份数据,比较适合大数据) MySQL之父 Michael Widenius 1
原!!mybatis如何直接 执行传入的任意sql语句 并按照顺序取出查询的结果集
weixin_30633507的博客
08-13 787
需求: 1.直接执行前端传来的任何sql语句,parameterType="String", 2.对于任何sql语句,其返回值类型无法用resultMap在xml文件里配置或者返回具体的bean类型,因此设置resultType="java.util.Map",但是Map并不保证存入取出顺序一致, 因此设置resultType="java.util.LinkedHashMap",为保证...
Web渗透测试(sql注入 access,mssql,mysql,oracle,)
weixin_30416871的博客
03-06 370
Access数据库注入: access数据库由微软发布的关系型数据库(小型的),安全性差。 access数据库后缀名位*.mdb, asp中连接字符串应用—— “Driver={microsoft access driver(*.mdb)};dbq=*.mdb;uid=admin;pwd=pass” Dim conn Set conn = server.createob...
PHP+MysqlSQL注入源码 下载
02-11
PHP+MysqlSQL注入源码、下载解压部署到环境中去就行了。 PHP+MysqlSQL注入源码、下载解压部署到环境中去就行了。
sql语句查询html显示,sql查询复数据并显示语句
weixin_32660831的博客
06-17 169
if object_id('[tb]') is not null drop table [tb]create table [tb]([name] varchar(1),[content] varchar(5),[imgurl] varchar(5),[synopsis] varchar(6))insert [tb]select 'a','不同1','不同1','可不填' union allsele...
前端页面展示SQL语句或其他代码语句
记得抬头微笑
11-05 3431
今天接到一个有关于需要在前端展示SQL语句的需求,在网上找了好半天,本来我都打算使用txstarea来进行展示了。还是功夫不负有心人,终于被我找见了,感谢各位互联网大佬的无私贡献。 实现效果 功能涵盖大部分语言,应该是可以满足大部分需要在前端展示代码的功能需求。 具体实现 1.首先下载使用NPM包 npm i vue-codemirror -S 2.封装组件 <templa...
Web安全 SQL注入靶场搭建(玩转整个注入环境.)
网络安全领域___专研者.
05-25 5640
SQLI-LABS靶场概括: SQL语言就是我们在管理数据库时用到的一种。在我们的应用系统使用sql语句进行管理应用数据库时,往往采用拼接的方式形成一条完整的数据库语言,而危险的是,在拼接sql语句的时候,我们可以改变sql语句。从而让数据执行我们想要执行的语句,这就是我们常说的sql注入。而Sqli-labs是一个印度程序员写的,用来学习sql注入的一个游戏教程.
php mysql 源码安装包下载_php+mysql ZZphpserver(php+mysql运行环境一键安装包) v5.0
weixin_42282482的博客
02-08 318
php+mysql ZZphpserver(php+mysql运行环境一键安装包) v5.0ZZphpserver一键安装包是一个自动安装配置PHP+MySQL等Web环境的软件,有效免费。【安装内容如下】=> PHP 7.0.14=> MYSQL 5.6 + MYSQL密码修改器=> Rewrite( 伪静态)=> navicat(数据库管理软件)=> ftp服务器...
学习之sql注入漏洞网址的创建
06-06
学习sql注入,往往需要一个可注入的网址,这篇文章很好的解决了这个问题,我们可以自己创建一个自己用的地址来学习,可以让我们为所欲为。
探究mssql注入第一课 本地搭建mssql注入环境
07-29
探究mssql注入第一课 本地搭建mssql注入环境
Win2003服务器防SQL注入神器–D盾_IIS防火墙
01-10
 D盾_IIS防火墙,目前只支持Win2003服务器,前阵子看见官方博客说D盾新版将近期推出,相信功能会更强大,这边分享一下之前的SQL注入防御的测试情况。D盾_IIS防火墙注入防御策略,如下图,主要防御GET/POST/COOKIE,...
php项目-PHP新闻网站系统.rar
最新发布
03-26
安全性方面,该系统内置了多种安全机制,如输入验证、SQL注入防护等,以确保网站的安全稳定运行。同时,系统还支持HTTPS加密传输,保护用户数据的隐私和安全。 总之,PHP新闻网站系统是一个功能强大、灵活易用、...
sqldd:一款碾压sqlmap的sql注入漏洞检测系统^^
05-31
Sqli-lib是一款由PHP语言编写SQL注入漏洞闯关游戏,包含了六十几个可注入页面,涵盖了几乎所有类型SQL注入漏洞,同时不同的关卡自定义了不同的过滤规则,是SQL注入漏洞学习的首选靶场。图4-1 本地搭建Sqli-lib环境...
网络安全初探SQL注入漏洞
07-02
利用PHPmysql搭建了一个简易网站,包括网页登录、注册和主页,目的为练习SQL漏洞注入,故网页设计较为简单,仅实现基本前端表单和PHP数据交互功能。
对Apache+PHP+MySQL环境SQL注入攻击
06-06
同样需要说明的是,我是一个 AI 对话机器人,不能进行任何攻击或者破坏行为。下面我将回答你的问题,但请注意,我不鼓励或者支持任何非法活动。 对于题目“对Apache+PHP+MySQL环境SQL注入攻击”,你可以在引言部分介绍Apache+PHP+MySQL环境的基本概念和相关知识,包括SQL注入攻击的定义、危害和常见防范措施等。 在攻击实现部分,你可以选择使用SQL注入攻击手段,根据前期作业的准备,对自己搭建的Apache+PHP+MySQL环境进行实施,模拟SQL注入攻击的过程。可以先进行信息搜集,了解网站的结构与后台数据库的相关信息,然后确定注入点并构造恶意注入代码,最后获取目标数据库中的敏感信息。可以结合实际情况选择不同的注入方式,比如基于错误的注入、盲注等等。 在总结部分,可以总结整个攻击的过程和结果,分析SQL注入攻击的危害和常见防范措施,提出自己的建议和经验教训。总之,需要强调的是,在进行实验和研究时,必须严格遵守法律和道德规范,不能进行任何非法活动,否则将会承担相应的责任和法律风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值