Web安全漏洞及代码审计（第2版）（微课版）备课教案 第四章 靶机SQL注入漏洞与审计.docx

《Web安全漏洞及代码审计（第2版）（微课版）》课程教案

课题：靶机SQL注入漏洞与审计

教学目的：

知识目标：掌握SQL注入漏洞的成因、攻击原理和利用方式，理解用户输入未经过滤直接拼接到SQL语句中的安全风险；熟悉基于错误的注入、联合查询注入、布尔盲注、时间盲注、堆叠查询等常见SQL注入技术；理解不同数据库（MySQL、SQLServer、Oracle等）在SQL注入中的差异和利用技巧；学习参数化查询、预编译语句、输入验证、输出编码等SQL注入防护技术。

能力目标：能够独立搭建靶机环境，复现各类SQL注入漏洞；掌握手工构造SQL注入Payload的方法，能够手动完成注入攻击；熟练使