Javan's blog

SQL注入概要

SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

基础 （0.5天）

• SQL SELECT查询知识

• SQL SELECT 语句

• sql select语句详解

• PHP如何操作数据库

• PHP MySQL 函数

• PHP MySQL Select

• PHP访问MySql数据库 初级篇

• PHP与Mysql的连接

测试环境

• 在线 https://testphp.vulnweb.com/

• 本地 SQLi-Labs

入门 

• 渗透攻防Web篇-SQL注入攻击初级

• Web安全之SQL注入攻击技巧与防范

• SQL注入漏洞全接触

• MySQL 及 SQL 注入

• SQL注入的基本原理和防御方法

• 所有用户输入都是邪恶的：SQL注入

• SQL 注入详解

• SQL手工注入教程

• SQL注入攻击三部曲之入门篇

• 手动SQL注入基础详解

• SQL注入基础知识

进阶 

• SQL Injection CheetSheet

• SQL注入速查表

• SQL注入总结（一）

• 认识SQL注入的类型

• 避免SQL注入

• sql注入语句大全

• DVWA之从SQL注入到写入webshell

• 浅谈SQLI的危害和利用

• 见招拆招：绕过WAF继续SQL注入常用方法

• Full SQL Injections Cheatsheet

案例 

• Web攻防系列教程之 PHP + Mysql注入攻防实战

• 渗透学习笔记--基础篇--sql注入（数字型）

• 渗透学习笔记--基础篇--sql注入（字符型）

• 通过sqli-labs学习sql注入——基础挑战之less1-10

知识点 

Boolean/Error/Union/Stack/Time based sql injection

• MySQL SQL Injection Cheat Sheet

• MSSQL Injection Cheat Sheet

• MySQL SQL Injection Cheat Sheet

• Oracle SQL Injection Cheat Sheet

• Testing for SQL Injection

• SQL Injection CheetSheet

书籍

• SQL注入攻击与防御