PHPstudy安装靶场

一、先确认网站根目录

所有靶场源码必须放到这里才能被访问:

  1. 找到 phpStudy 安装目录,默认路径:D:\phpStudy\PHPTutorial\WWW
  2. WWW 就是本地网站根目录,后续所有靶场文件夹都放入此处。

二、搭建 SQL 注入专项靶场:sqli-labs

1. 下载靶场源码

官方开源地址:https://github.com/Audi-1/sqli-labs下载压缩包 Download ZIP 即可。

2. 部署文件

  1. 解压得到 sqli-labs-master 文件夹
  2. 整体复制,粘贴到 WWW 根目录内

3. 数据库账号配置

  1. 进入目录:sqli-labs-master/sql-connections/
  2. 用记事本打开 db-creds.inc
  3. 修改为 phpStudy 默认账号密码:

php

运行

复制代码
$dbhost='localhost';
$dbuser='root';
$dbpass='root';
  1. 保存文件

4. 初始化并使用

  1. 浏览器访问:http://localhost/sqli-labs-master/
  2. 点击页面初始化按钮,一键创建靶场数据库
  3. 成功后即可从 Less-1Less-24 练习全部 SQL 注入关卡

三、搭建 XSS 跨站脚本靶场:xss-labs

1. 下载源码

开源地址:https://github.com/do0dl3/xss-labs

2. 一键部署

  1. 解压后把 xss-labs 文件夹放入 WWW 目录
  2. 该靶场大部分关卡无需数据库,开箱即用
  3. 浏览器直接访问:http://localhost/xss-labs/
  4. 即可开始练习基础 XSS、过滤绕过、高级场景等关卡

四、PHP 综合安全靶场:Pikachu(新手首选)

包含 SQL、XSS、文件上传、代码执行等几乎所有 Web 漏洞,一站式练手。

  1. 下载地址:https://github.com/k0nxi/pikachu
  2. 解压放入 WWW 文件夹
  3. 进入 pikachu/inc/config.inc.php,修改数据库配置:

php

运行

复制代码
$dbhost = '127.0.0.1';
$dbuser = 'root';
$dbpwd = 'root';
  1. 访问地址:http://localhost/pikachu/
  2. 点击页面「一键初始化安装」,即可使用全部靶场模块

五、进阶专业靶场:DVWA

适合进阶 PHP 代码审计、漏洞进阶学习

  1. 下载地址:https://github.com/digininja/DVWA
  2. 解压放入 WWW,并重命名文件夹为 dvwa
  3. 进入 dvwa/config/,将 config.inc.php.dist 重命名为 config.inc.php
  4. 打开文件修改数据库信息:

php

运行

复制代码
$_DVWA['db_server'] = 'localhost';
$_DVWA['db_user'] = 'root';
$_DVWA['db_password'] = 'root';
  1. 访问 http://localhost/dvwa/
  2. 默认账号:admin,密码:password,创建数据库即可进入

六、常见问题快速排错

表格

故障现象 解决方法
访问提示 404 确认靶场文件夹直接放在WWW根目录,无多层嵌套
数据库连接失败 确认 MySQL 保持绿灯,账号密码统一为root
页面空白、不报错 点击「其他选项菜单」→php.ini设置,开启display_errors = On
无法自动建库 打开 MySQL 管理器,手动新建一个空数据库即可

七、练习建议

  1. 保持当前非服务模式运行,调试靶场更灵活稳定
  2. 练习时临时关闭杀毒 / 防火墙,避免靶场文件被误隔离
  3. 推荐新手练习顺序:sqli-labs(SQL注入)xss-labs(XSS跨站)Pikachu综合巩固
相关推荐
菩提小狗1 小时前
每日安全情报报告 · 2026-07-16
网络安全·漏洞·cve·安全情报·每日安全
Fnetlink14 小时前
2026年SDWAN供应商如何选,从“连通“到“智连“的架构演进
大数据·网络安全
todoitbo5 小时前
让数据看板随时可见:Grafana + cpolar 远程访问实战
ui·网络安全·grafana·数据看板·远程访问
Fnetlink15 小时前
Fnet 云网安 260717
网络·安全·网络安全
txg6668 小时前
Agent 攻击 Agent:自动检测 LLM Agent 中的污点式漏洞
人工智能·深度学习·安全·网络安全
2501_9151063221 小时前
TraceEagle 代理抓包教程 本机和手机的 HTTPS 抓包方法
网络协议·计算机网络·网络安全·ios·adb·https·udp
Chockmans1 天前
春秋云境CVE-2023-51385(保姆级教学)
大数据·web安全·elasticsearch·搜索引擎·网络安全·春秋云境·cve-2023-51385
ICT系统集成阿祥1 天前
WAF部署方式对比(主流5种:透明桥、反向代理、旁路镜像、串接路由、云WAF)
网络安全·waf·部署模式
清欢渡---1 天前
HCIP-第五章vrrp
网络·网络安全·hcip
m0_738120722 天前
AI安全实战系列(二):Lab01 Foundations和Lab02 Prompt Injection
linux·运维·人工智能·安全·网络安全·系统安全