环境准备：构建完善的安全渗透测试环境：推荐工具、资源和下载链接_渗透测试靶机下载-CSDN博客 

一、SQL 注入基础

        SQL注入是一种常见的应用程序安全漏洞，发生在应用程序与数据库层之间。简而言之，它是通过在输入的字符串中注入SQL指令来实现的，如果程序设计不良未进行充分检查，那么这些注入的指令就可能被数据库服务器误认为是正常的SQL指令而被执行，导致数据泄露或系统被入侵。

注入原理

        SQL注入漏洞的原理是在输入的数据中插入SQL代码，以利用应用程序对输入数据的不完善验证。这使得攻击者能够执行未经授权的数据库查询、修改甚至删除数据。

SQL注入分类

1. 按注入点类型分类

• 数字型注入点：如 http://xx.com/news.php?id=1，其中id类型为数字。
• 字符型注入点：如 http://xx.com/news.php?name=admin，其中name类型为字符类型。

2. 按数据提交方式分类

• GET注入：通过GET方式提交数据，注入点在GET参数部分。
• POST注入：通过POST方式提交数据，注入点在POST数据部分，通常出现