简介     

      SQL注入（SQL Injection）是一种常见的网络攻击方式，通过向SQL查询中插入恶意的SQL代码，攻击者可以操控数据库，SQL注入是一种代码注入攻击，其中攻击者将恶意的SQL代码插入到应用程序的输入字段中，然后这些输入被传递到数据库服务器上执行。攻击者可以利用这一漏洞执行任意的SQL查询或命令，从而访问或操控数据库中的敏感信息。

       SQL注入的一个简要流程：

1、打开目标靶场

2、选择less - 18

3、登录网站

用户 admin 以及密码admin

4、使用抓包工具BP，获取信息

5、判断闭合方式   

  这里为 ' and'

6、使用报错注入截取信息

'and updatexml(1,concat(1,(select database())),1) and'

由此可获得数据库名称

7、按照此法可截取想要获取的信息

安全

网络安全为人民，网络安全靠人民