为了练习SQL注入操作,我们可以自己构造注入点来进行测试;之前本站发布过关于ASP注入点,ASPX注入点构造的文章,今天补上PHP的,喜欢的拿去玩。
构造ASP注入点:
http://www.waitalone.cn/construct-asp-injection-point.html
构造ASPX注入点:
http://www.waitalone.cn/structure-aspx-injection.html
PHP注入点构造实例代码
<?php
/**
* create database sqlinject;
*
* use sqlinject;
*
* create table admin(
* id int auto_increment primary key,
* username varchar(32) not null,
* password varchar(32) not null
* );
*
* insert into admin (username,password) values ('admin',md5('admin')),('safe',md5('12345')),('test',md5('test'));
*/
$db_host = 'localhost';
$db_user = 'root';
$db_pass = 'waitalone.cn';
$id = $_REQUEST['id'];
$link = mysql_connect($db_host, $db_user, $db_pass) or die("DB Connect Error:" . mysql_error());
mysql_select_db('sqlinject', $link) or die("Can\'t use sqlinject:" . mysql_error());
$sql = "SELECT * FROM admin WHERE id=$id";
$query = mysql_query($sql) or die("Invalid Query:" . mysql_error());
while ($row = mysql_fetch_array($query))
{
echo "用户ID:" . $row['id'] . "<br>";
echo "用户账号:" . $row['username'] . "<br>";
echo "用户密码:" . $row['password'] . "<br>";
}
mysql_close($link);
echo "当前查询语句:".$sql."<br>";
?>
更多PHP漏洞研究的资料,请下载dvwa汉化版:
- 作者:独自等待 | 发布:2014年01月09日
- 分类:SQL注入
- 标签:mssql2005,mssql2008,mysql,SQL injection,SQL注入,构造,注入点
- 转载文章请注明:构造PHP注入点 | 独自等待-信息安全博客
目前有:3条访客评论,博主回复3条
Invalid Query:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ” at line 1 出现这样的问题是数据库版本的原因吗
这是?Can\’t use sqlinject:Unknown database ‘sqlinject’
那规则库干啥的? 我看他有规则
不错,对网站很有帮助
说实话,不懂这方面的内容
国赛UP
可是下载后打开文件 并不能直接
请问这个如何分析,可以讲详细一
啊啊啊啊啊
想多学一些应付信息安全与管理评
很好,赞一个!
文章不错支持一下吧