SQL注入新手教程（一）——sqli-labs靶场搭建

网站环境搭建

首先我们要搭建一个（本地）网站环境，如果对搭建网站不是很熟悉的小伙伴们可以使用XAMPP或者PHPstudy来搭建。<!--more-->这两个软件集成了搭建网站所需要用到的PHP、Apache、MySQL等软件。如果自己用其他方式搭建的话要注意sqli-labs是不支持PHP7的，因为之前版本的一些要用到的函数在PHP7中被删除了。我用的是5.6.9版本。
这里我就用PHPstudy为例（听名字就知道使用起来更简单）:

首先确保没有安装过PHP，Apache或MySQL

前往官网下载PHPstudy：https://www.xp.cn/

下载完成后安装，打开面板。

如图示操作，第一次打开应该点击更多版本，找到php5.6.9或者更低的版本安装。并将php版本切换成你安装的那个版本。接下来回到首页，按图操作：

将WAMP、Apache和MySQL启动，其他的停止。这里可能会遇到端口被占用的情况导致某个套件无法启动。遇到这个问题可以去找占用了改端口的进程并将其停止。Windows用户可以参考这篇文章：链接

如果上述过程都顺利完成，接下来在你的浏览器输入localhost或127.0.0.1就可以进入默认网页。这时就代表网站环境已经搭建成功了！

sqli-labs下载与配置

sqli-labs在GitHub上开源，直接到仓库里下载zip文件：https://github.com/Audi-1/sqli-labs

下载完成后解压并复制到phpstudy_pro\www\目录下

我这里将解压好的文件夹重命名为sqli方便我之后打开。
注意：要确保你复制过来的文件夹打开是下图这样，如果打开是一个同名的文件夹，你应该把图中内容剪切出来并删除这个同名的文件夹

接着在sql-connections目录下找到db-creds.inc文件并打开修改

使用PHPstudy的话，用户名密码默认都是root，都修改为root即可。要是不喜欢的话可以打开PHPstudy面板点击数据库，按照相应提示修改密码就可以了。但一定要确保MySQL数据库的用户名密码和该配置中一致！！！

接下来在浏览器中打开https://localhost/sqli/，这里sqli要换成你在Github上下载的那个文件夹解压后改的名字。（可以补充一下，这里搭建的网站其实就是www根目录下的所有文件和目录的集合。在后面加一个sqli/其实就是进入了sqli这个文件夹，然后进这个文件夹默认显示的就是这个文件夹里面的index.html或者index.php）

言归正传，打开后显示如图：

点击setup/reset Database for labs进行sqli-labs的初始化，初始化成功的页面如图：

如果看到这个页面，congratulations！sqli-labs靶场环境已经搭建成功了。接下来只要点击page1/2/3/4就可以去完成挑战了！

结语

还是要强调，不要在不被授权的网站上练习MySQL。
下一期（很快555）我们学习基于报错的的注入，也就是less1-less6。

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。