SQL注入——红蓝攻防学习(1)，渣本二面阿里受挫

一、搭建环境

参考

DVWA下载、安装、使用（漏洞测试环境搭建）教程-CSDN博客

https://blog.csdn.net/m0_68012373/article/details/128053192

1. 安装phpstudy

下载phpstudy，小皮面板(phpstudy) - 让天下没有难配的服务器环境！ - 让天下没有难配的服务器环境！")；

安装；

启动；

2.安装DVWA

2.1下载DVWA，http://www.dvwa.co.uk/；

解压至phpstudy网站根目录www中；

2.2解决爆红

2.2.1密钥补充

将 config.inc.php.dist重命令为 config.inc.php；

修改config.inc.php内容；

在网站https://www.google.com/recaptcha/admin获取密钥并填充

Site key:
6Le5nGApAAAAAFz1FIM91vfNcralxaa1Z721wid5

Secret key:
6Le5nGApAAAAAIjii567w1YbYMfX0NGC_ZVn5yqJ

2.2.2开启PHP url_include模块

在phpstudy安装地址中找到php.ini

将allow_url_include设置为On

重启phpstudy

3.使用DVWA

3.1设置数据库

浏览器打开http://127.0.0.1/DVWA/setup.php

登录，默认用户名为admin，密码为password；

设置安全级别为low

二、学习SQL注入

在输入框输入1并提交，回显正常，输入值被传递给参数“id”；

url头中为“id=1&Submit=Submit#”

查看源码（前两种方法均无法查看php代码）；

1）按F12

2）Ctrl+U查看网页源代码

3）访问http://127.0.0.1/DVWA/vulnerabilities/view_source.php?id=sqli&security=low查看php源代码；

可以看到参数“id”没有过滤，且参数值直接拼接给SQL语句，说明可能有SQL注入；

验证前面的判断，用单引号“ ’ ”判断是否存在注入，注意：要使用英文标点单引号；

中文单引号回显正常

输入**1’**并提交，英文单引号回显不同，有SQL语法报错，则有注入；

或者使用判断语句

输入**1’ and 1=1 #**回显正常

输入**1’ and 1=2 #**回显不同，因此判断存在SQL注入

判断了注入存在，接下来使用“order by”语句判断列数；

输入**1’ order by 2 #**回显正常

输入**1’ order by 3 #**报错，说明存在两列

判断完列数以后，可以看一下是否有显示位，如果有就可以在页面显示需要查询的数据库名、表名等，如果没有显示位置，就直接进行盲注了。

2024.02.01

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

一、网安学习成长路线图

网安所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

二、网安视频合集

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。

三、精品网安学习书籍

当我学到一定基础，有自己的理解能力的时候，会去阅读一些前辈整理的书籍或者手写的笔记资料，这些笔记详细记载了他们对一些技术点的理解，这些理解是比较独到，可以学到不一样的思路。

四、网络安全源码合集+工具包

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块

一个人可以走的很快，但一群人才能走的更远。如果你从事以下工作或对以下感兴趣，欢迎戳这里加入程序员的圈子，让我们一起学习成长！

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

我们一起学习成长！**](https://bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0)

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算