搭建sql注入实验环境（基于windows）

搭建服务器环境

1.下载xampp包

地址：http://www.apachefriends.org/zh_cn/xampp.html

很多人觉得安装服务器是件不容易的事，特别是要想添加MySql, PHP组件，并且要配置起来让它们能够工作就更难了。这里介绍一个好用的软件xampp，他已经把所有的工作做完了，你要做的只需下载，解压缩，启动即可。它有提供各种操作系统的版本，同时也提供安装版和便携绿色版

2.使用xampp

将下载的压缩包解压至D盘（你也可以放到你喜欢的地方，路径最好没有空格），双击xampp-control.exe启动控制台

点击start启动apache和mysql

这时可以看到启动的信息和端口。如果在你的电脑中无法启动apache服务，首先检查一下是不是端口有跟别的软件有冲突，如果是的话，可以修改httpd-ssl.conf里的 Listen 446，避免冲突

确认apache和mysql都成功启动之后，浏览器中输入http://localhost:446/xampp/（注意端口号）可看到如下图即证明安装成功

安装sql注入实验网站

下面是sql注入环境的搭建

1. 下载sql实验环境

所用环境的代码是一个印度人的开源项目平台。里面包含了基本的各种注入类型，同时又有get和post类型，以及一些基本的绕过学习。

下载地址：https://github.com/Audi-1/sqli-labs

2. 安装

将下载好的源代码包解压到xampp目录下的\htdocs文件夹，重命名为sqli-labs。然后编辑sql-connections文件夹下的db-creds.inc文件配置数据库。xampp 自带的mysql默认用户名是root，密码为空。

<?php

//give your mysql connection username n password

$dbuser ='root';

$dbpass ='';

$dbname ="security";

$host = 'localhost';

?>

打开浏览器链接http://localhost:446/sqli-labs/，点击网页上的Setup/reset Database for labs，将数据库建起来了之后就可以使用。在实验过程中可能会破坏数据库完整性，也可以点击这个恢复初始数据。

3.如何使用（以第一课为例）

点击第一课Less-1

这个是基于get的页面，我们直接在链接后跟?id=1 看效果

可以看的有数据返回了。然后尝试下 ?id=\ 很明显没有对数据库错误回显进行处理。这是最基本的一个例子，大家可以尝试更高级的例子

写在最后:

因为本文主要为了介绍如何搭建这个sql注入实验环境，就不对后面具体如何注入具体介绍了，感兴趣的同学可以自行尝试。英文听力过硬的同学可以去看这个项目的学习视频，是开发这个平台的印度人做的，需要翻墙 www.securitytube.net/user/Audi 。