sqlmap的安裝和測試環境的搭建

1.sqlmap的官網 http://sqlmap.org/ 上的可以下載到最新的sqlmap版本

2.需要安裝python2.7 可以去官網下載 https://www.python.org/，註意配置環境變量

3.測試sqlmap是否安裝成功,解壓sqlmap，進行其目錄，進入cmd，運行python sqlmap.py

測試環境的搭建 註意盡量使用google chrome瀏覽器，因為它可以方便用使用快捷菜單的檢查選項來查看HTML請求的具體細節

1.下載wampserver x64 註意需要安裝 DirectX Repair來修復才能安裝成功

2. 下載vawa ,其官網為http://www.dvwa.co.uk/，在github上下載 https://github.com/ethicalhack3r/DVWA

3. 解壓在目錄 E:\www\my\dvwa下 在系統的hosts文件中添加 127.0.0.1 dvwa.localhost

4.在wampserver的httpd.conf文件後添加

<VirtualHost *:80> DocumentRoot "E:\www\my\dvwa" ServerName dvwa.localhost <Directory "E:\www\my\dvwa"> Options Indexes FollowSymLinks AllowOverride All Require all granted </Directory> </VirtualHost> 5. 修改E:\www\my\dvwa\config\config.inc.php下的配置文件中下列字段 $_DVWA[ ‘db_server‘ ] = ‘127.0.0.1‘; $_DVWA[ ‘db_database‘ ] = ‘dvwa‘; $_DVWA[ ‘db_user‘ ] = ‘root‘; $_DVWA[ ‘db_password‘ ] = ‘‘;

# Only used with PostgreSQL/PGSQL database selection. $_DVWA[ ‘db_port ‘] = ‘3306‘;

6.運行wampserver 7.在瀏覽器中輸入 localhost 用戶名為admin, 密碼為password

sqlmap的學習 主要是一個命令行參數的學習和使用 -h 顯示簡要的幫助 -hh 顯示所有的幫助文檔 -u 後接url -r 後接header的txt文件 --cookie 後接cookie字符串 --dbs 顯示出所有的數據庫 --tables 顯示出所有數據表 --dump 顯示出所有庫數據 --dump_all 顯示出所有的數據庫數據 -T 指定表 --current_table 當前的數據表 --current_db 當前的數據庫 -D 指定數據庫 --batch 自動選擇默認的提示參數 --smart 智能選擇默認的提示參數 -g 使用google來搜索可以可以sql註入的網址

怎樣上google 可以通過修改系統的hosts文件 具體可參考這個 https://laod.cn/hosts/2017-google-hosts.html 或者可以購買vpn

防範sql註入的方法

1.防火墻

使用ngx_lua_waf防火墻可以，保護網站，有效防範sql註入攻擊，這個防火墻是開源的，https使用ngx_lua_waf防火墻可以，保護網站，有效防範sql註入攻擊，這個防火墻是開源的，https://github.com/loveshell/ngx_lua_waf

2.代碼審查 還有在服務器的後臺代碼，註意不要把post請求的字符串直接用於參數提交給sql查詢語句中

sqlmap的安裝和測試環境的搭建