实验目的:通过使用DVWA实例理解php中的Sql注入漏洞产生的原因及其利用方法,结合实例掌握其加固方式
SQL:通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
具体来说,它是利用现有的应用程序,将恶意的SQL命令注入到后台数据库引擎执行的能力,他可以通过在web表单中输入恶意SQL命令得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL命令
实验环境:
本机:192.168.1.2
目标机:192.168.1.3
一、低安全等级文件包括
1、使用浏览器打开,http://192.168.1.3:8008/dvwa/login.php输入用户名:admin密码:password
2、登录需要将DVWA的安全级别调整为low,如下图,调整后选择SQL Injection,进入页面
3、提示输入User ID,将显示ID,First name, Surname.这里输入ID为1,点击Submit,出现如下:
4、可以得出此处为注入点,尝试输