SQL Injection是攻擊者控制資料驅動的Web Application和Web最常見和最具破壞性

的攻擊。利用website或application software中的code injection技術。

SQL injection攻擊使用一系列惡意的SQL(結構化查詢語言)查詢或語句來直接操作

任何類型的SQL資料庫。

應用程式通常使用SQL statements來驗證使用者,驗證角色和存取層級,儲存,以獲取

應用程式和使用者的訊息及連接到其他data sources。

當攻擊者使用SQL injection等策略來破壞Web applications及sites時,

目標組織可能會在金錢,聲譽以及數據和功能面蒙受巨大損失。

做LAB時我們是用www.moviescope.com 來練習,設定時一直卡關,後來是參考以下YT影片

才搞定

另外若是要用http://www.goodshopping.com/ 練習,可以看以下YT影片把環境建立起

接下來我們就可以開始快樂做Lab啦

使用Windows 10登入http://www.goodshopping.com網站

在Username欄位輸入blah' or 1=1 -- ,密碼欄位保持空白,按下Log in按鍵,如下圖

接下來我們在GoodShopping網站輸入以下資訊

就會運用語法的邏輯錯誤建立起資料庫mydatabase