SEC-L0502.1-基于MySQL的SQL注入攻击.docVIP

基于MySQL的SQL注入攻击 技术背景 SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，可能被入侵很长时间管理员都不会发觉。 随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些用户想得知的数据，这就是所谓的SQL Injection，即SQL注入。 实验目的 掌握SQL注入基本手段 了解WEB站点的脆弱性 修复存在SQL注入可能的漏洞 实验平台 客户端：Windows2000/XP/2003 服务端：Linux、php5、apache2、mysql5 实验工具 客户端需安装IE浏览器 实验要点 实验中，将了解PHP程序注入漏洞原理，怎样基于APACHE2+PHP+MYSQL系统利用注入漏洞入侵。 实验步骤指导 实验准备 实验概要： 了解网络常见php+mysql架构应用，如Discuz论坛、PHPBB系统； 熟悉简单sql语句的构成； 获取服务器IP地址。 PHP注入漏洞知识了解 实验概要： 通过实验样例，了解PHP程序注入漏洞的原理，以及SQL注入的简单实现。 PHP程序的运行，需要配合后台数据库