Sqli-labs靶场搭建（适合新手小白围观）

前言

本文章是在自己在使用新版phpstudy搭建靶场过程中遇到了很多问题,但在查询无果后,决定尝试旧版的phpstudy看能否成功,很幸运,成功了,也并不是网上的教程,说是php必须在5.2及以下.我使用的是5.4版本的.

搭建框架

1，SQL注入?

这里我们先复习一下,我们在学习过程中也不要忘记常常要往回看,回头看是一种好的学习习惯

1.1,SQL注入是什么?

SQL注入是一种常见的安全漏洞，它允许攻击者通过将恶意的SQL代码插入到应用程序的输入字段中来执行非授权的数据库操作。

1.2,SQL注入的原理是什么?

SQL注入的原理是利用应用程序没有对用户输入进行充分的验证和过滤，攻击者可以通过输入特殊字符或者SQL语句片段来改变原始的SQL查询语句的逻辑。

1.3,攻击者可以获取到什么信息?

攻击者可以利用SQL注入进行各种恶意操作，包括获取敏感数据、修改、删除或插入数据，或者执行其他任意的SQL语句。

1.4,开发人员如何防范

1. 使用参数化查询或预编译语句：确保应用程序将用户输入作为参数传递给SQL查询，而不是将其直接插入到查询字符串中。

2. 输入验证和过滤：对于所有用户输入的数据，进行验证和过滤，确保其符合预期的格式和结构，以防止恶意注入。

3. 最小化权限：在数据库中，为应用程序使用的数据库账号分配最小化的权限，只赋予执行必要操作的权限，这样即使发生注入攻击，也能尽量减小损害。

4. 定期更新和维护：及时更新数据库和应用程序的补丁，以修复已知的安全漏洞。

2，phpStudy准备

                              **这里是有新版和旧版两种方式去解决的**

2.1,旧版准备

           下载后为一个exe文件进行运行,然后选择要安装的位置就可以了

阿里云盘分享https://www.aliyundrive.com/s/akYNRzRH4bN

2.2,新版准备

                      **这里可以去看我的另一篇文章,里面有最新版的安装操作**

        这里我也就不去截新图了,直接就从之前的文章截了一下,然后沾过来了

                             [什么是web与搭建自己的第一个pikachu靶场http://t.csdn.cn/YJ7WB](http://t.csdn.cn/YJ7WB "                                 什么是web与搭建自己的第一个pikachu靶场")![](https://i-blog.csdnimg.cn/blog_migrate/5d97527458cb35dbd7b9029ed40693fa.png)

3，sqli-labs源码准备

                          可以在github进行下载,也可以在我的网盘进行下载

                         [https://codeload.github.com/Audi-1/sqli-labs/zip/masterhttps://codeload.github.com/Audi-1/sqli-labs/zip/master](https://codeload.github.com/Audi-1/sqli-labs/zip/master "                             https://codeload.github.com/Audi-1/sqli-labs/zip/master")

sqli-labs-master.zip官方版下载丨最新版下载丨绿色版下载丨APP下载-123云盘123云盘为您提供sqli-labs-master.zip最新版正式版官方版绿色版下载,sqli-labs-master.zip安卓版手机版apk免费下载安装到手机,支持电脑端一键快捷安装https://www.123pan.com/s/9CetVv-hkpw.html%E6%8F%90%E5%8F%96%E7%A0%81:2175

4.将下载的靶场放置到WWW根目录下

      **新版的具体的直接看我之前写的文章里面有详细的讲解,怎么放置和解压**

什么是web与搭建自己的第一个pikachu靶场http://t.csdn.cn/YJ7WB

                           这里我讲解一下旧版的,怎么确定和进行

              **打开工具后,我们先点击其他选项菜单,然后点击网站根目录**

                                              **然后我们将靶场解压到这个目录下** 

5.修改配置信息

用文本编辑器打开路径 某盘:\phpstudy\PHPTutorial\WWW\sqli-labs-master\sql-connections 下的db-creds.inc，然后修改密码为root，这里的密码要跟phpstudy里的php数据库的用户密码(默认为root)对上。

                            旧版不用管,就改root就完了,然后就不用管了 

               新版的要确定,红线部分的密码是不是root,不过一般也是默认为root

6.数据库初始化

以上步骤完成后输入127.0.0.1或者**127.0.0.1/sqli-labs-master/**进入靶场，点击下方所指示的，初始化数据库

                                     **出现下面的信息代表,代表靶场安装成功**

                          **点击图片中的红框就可以进行,SQL注入的练习了** 

7.在新版的phpstudy搭建时会出现的问题

7.1,PHP版本降级

因为php7版本以上抛弃了mysql_系列函数，转用mysqli系列函数，所以用php7版本以上安装的时候就会报错,我们需要为php降个级

依次按照图中所示进行操作,最后进行版本更换,这里因为是我是在虚拟机里搭建的,所以无法进行安装和使用旧版的php,所以如果是在本机搭建的话,应该可以成功.

7.2,避免端口冲突

**如果有已经建成的网站，须将sqli-labs的端口与其避开,这样才不会出现端口冲突**

8，总结

本章是对SQL注入进行一个简单的回归,然后就是对于自己在搭建靶场中所遇到的一些问题的解决办法,以及进行安装步骤的总结,对于自己的自主配置和独立解决问题的能力是一种培养

每日一言

真正的有福之人，是经历极大的挫折磨难后，依然屹立不倒的人。一个人能承受的东西越多，他所能得到的馈赠才越多。

如果我的学习笔记对你有用，不妨点赞收藏一下，感谢你的支持，当然也欢迎大佬给我一下建议或是对笔记中的不足进行补充，对我学习大有帮助，谢谢。

网络安全零基础入门

【----帮助网安学习，以下所有学习资料文末免费领取！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）

大纲

首先要找一份详细的大纲。

学习教程

第一阶段：零基础入门系列教程

该阶段学完即可年薪15w+

第二阶段：技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

面试刷题

最后，我其实要给部分人泼冷水，因为说实话，上面讲到的资料包获取没有任何的门槛。

但是，我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”，其实是“无法开始”。

几乎任何一个领域都是这样，所谓“万事开头难”，绝大多数人都卡在第一步，还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术，马上行动起来，比一切都重要。

资料领取

上述这份完整版的网络安全学习资料已经上传网盘，朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取

点击领取 《网络安全&黑客&入门进阶学习资源包》