背景
經常聽說sql注入,我們開發程序需要使用預編譯,因爲我們的sql需要編譯才能執行,我們先使用?代替參數,將sql進行編譯,然後參數傳入過來,如果其中包含非法的語句,因爲得不到編譯而無法執行,那麼如何親自玩一下sql注入呢?
- 這個文章是接着堡壘機搭建的,所用到的一些工具也可以參照上篇文章進行下載,本文使用sqlmap,對搭建的sql注入平臺進行注入練習。
- 打開kali系統,這個系統裏有sqlmap環境,可以直接使用,打開終端,輸入sqlmap -u sql注入平臺的訪問地址,例如我的就是http://192.168.220.129/sqli-labs/Less-1/?id=1;回車就會進行執行,如圖。
![在這裏插入圖片描述]()
![在這裏插入圖片描述]()
如最後一張圖,告訴你sqlmap一共找到的注入點,而且告訴你是用什麼方式找到的,比如’ AND 6304=6304 AND ‘IAjH’='IAjH這個注入點,他是使用error-based找到的。
如最後一張圖,告訴你sqlmap一共找到的注入點,而且告訴你是用什麼方式找到的,比如’ AND 6304=6304 AND ‘IAjH’='IAjH這個注入點,他是使用error-based找到的。