学习sql注入,可以考虑安装一个php语言开发的安全测试平台dvwa,他的安装需要安装php环境,以及mysql,apache。这里假定我们的环境已经配置好了,我们只需要下载dvwa程序即可。github上的地址为https://github.com/ethicalhack3r/DVWA。
我们可以把dvwa程序直接放在apache上配置的php根目录下。默认情况下,我们需要修改配置文件config.inc.php(dvwa/config目录下)。
其中,我们需要指定数据库的用户名和密码,默认数据库可以不用修改,另外,在访问setup.php页面时,会有一些missing的项目,比如gd,mysql,pdo_mysql等,我们需要在php.ini配置文件中开启。另外这里的reCAPTCHA key缺失是一个可选项,这里贴图中的public_key和private_key分别为:
$_DVWA[ 'recaptcha_public_key' ] = '6LdJJlUUAAAAAH1Q6cTpZRQ2Ah8VpyzhnffD0mBb';
$_DVWA[ 'recaptcha_private_key' ] = '6LdJJlUUAAAAAM2a3HrgzLczqdYp4g05EqDs-W4K';
修改php.ini配置文件,我们需要开启extension=php_pg2.dll,extension=php_mysqli.dll,extension=php_pdo_mysql.dll,如下图所示:
同时还需要修改php.ini中的两个配置:allow_url_fopen=On,allow_url_include=On,这个两个配置是setup.php页面上明确要求配置的,状态需要从Off变为On。
最后,我们重启Apache,然后再次访问setup.php,直到页面上没有红色的状态为止。
最后我们可以点击页面底部的Create/Reset Database,数据库创建成功,页面会跳转到登录页面,登录页面我们输入用户名和密码:admin/password,即可,密码就是'password'字符串,这是dvwa默认的。这个启动页面顶部也会有提示的。
登录成功,表示安装完成了。
dvwa安装成功之后,在mysql数据库中创建的数据库,以及表: