WebGoat通关之SQL Injection (intro)的学习
1.启动WebGoat
在启动WebGoat8.1.0后,在浏览器中输入网址http://127.0.0.1:8080/WebGoat进入WebGoat项目,点击侧边栏Injection,选择SQL Injection (intro)进入简单SQL注入练习,如图:
如果英文看不懂的话我们可以右击浏览器选择翻译成中文的功能
2.SQL Injection (intro)练习
2.1 What is SQL?
这是一个简单的sql查询语句的练习,根据要求检索员工Bob Franco的部门,如此,我们可以使用语句:SELECT department FROM employees WHERE first_name='Bob’通过first_name在employees 表中查到Bob Franco的部门,此外我们还可以通过SELECT department FROM employees WHERE auth_tan ='LO9S2V’语句查询到Bob Franco的部门,这里只需注意where后面的查询条件具备唯一性即可,同理,我们还可以通过userid等具备唯一标识的字段进行查询,操作结果如图: