标签：

写在前面的一些内容

请允许我叨叨一顿：

最初看到sqli-labs也是好几年之前了，那时候玩了前面的几个关卡，就没有继续下去了。最近因某个需求想起了sqli-labs，所以翻出来玩了下。从每一关卡的娱乐中总结注入的方式，这就是娱中作乐，希望能保持更大的兴趣学下去。而很多的东西不用就忘记了，有些小的知识点更是这样，网上搜了一下相关资料，基本上同仁前辈写的博客中讲解基础关。脑门一热决定给后面的人留下点东西（或许糟粕或许精华，全在你的角度），遂决定写blog。Blog写完了后决定总结成一个pdf文档，更方便查看。本来想着录制视频，可是时间要求太长了，所以只能先放下，此处看后期时间安排或者需求，可能的话对原作者的视频进行消音重新配音。最后希望能对后面参考该文档的人有帮助，不枉此作。

为什么要写这个？

（1）sql的危害，多少的网站是被此攻破的，危害不必细讲，同样的今天网络安全形势一片大好，依旧有很多的网站存在漏洞。具体不表，可以去各大src看看。

（2）很多的人觉得sql是如此的简单，同时很多的人是华而不实，对sql注入的理解到底有多深，决定了你对此漏洞的利用方式有多么变幻莫测。个人就想着利用自己对sql注入的理解，来完成这一个游戏。当然了，sql注入的内容有很多，这个是真的！因为我写的手酸。。

（3）以前自己在学习的时候太过于痛苦，大部分的人入门的时候通过sql走进来。同时呢，sql注入的世界真的很精彩，当你看到别人用智慧构成的payload时，你会感触颇多。所有形成你自己的理解和使用方法，而不是生搬硬套。此处希望通过该文档帮助到正在学习的人。

这项工作要怎么做？

现在大致的思路分为三个部分，但是不知道有没有时间和精力能够写完。确实写的过程比较耗费时间。

1. 、通过源码和手工的方式，将所有的注入方式和造成漏洞的原因找出来，并进行学习。此处要求是对每一个类型的注入进行"深刻"的了解，了解其原理和可能应用到的场景。
2. 通过工具进行攻击，我们此处推荐使用sqlmap。此过程中，了解sqlmap的使用方法，要求掌握sqlmap的流程和使用方法，精力较足的话，针对一些问题会附sqlmap的源码分析。
3. 自己实现自动化攻击，这一过程，我们根据常见的漏洞，自己写脚本来进行攻击。此处推荐python语言。同时，sql-labs系统是php写的，这里个人认为可以精读一下每关的源码，同时针对有些关卡，可以尝试着添加一些代码来增强安全性。

   Ps：工具注入和自动化注入可能延后，见第二个版本。请关注博客。

   你该怎么去学？

4. 安装环境后，动手实验。实践中遇到问题才能更大的激发起兴趣。
5. 遇到不会查资料，可以在我的博客（www.cnblogs.com/lcamry）中找到一些资料。或者可以请教别人，虚心请教，不耻下问。三人行必有我师焉！
6. 书山有路勤为径，勤奋是唯一的一条路。

   我的相关介绍

   Blog：www.cnblogs.com/lcamry

   联系QQ：646878467

   课余时间和工作之外时间来写，时间仓促，同时个人实力有限，望各位批评指正。

   

MYSQL注入天书之前言

标签：

原文地址：http://www.cnblogs.com/lcamry/p/5763164.html