有SQL注入练习站点吗？

推荐答案1

是的，您可以使用几个SQL注入练习站点来学习和练习SQL注入技术.但是，重要的是要注意，SQL注入是一个严重的网络安全脆弱性，并且将这些站点用于任何恶意目的都是非法和不道德的.

这是一些SQL注射练习站点您可以使用:

1. 该死的脆弱的Web应用程序(dvwa) :dvwa是一个php/mysql Web应用程序，故意易于攻击SQL注入攻击.它旨在帮助开发人员学习和练习Web应用程序安全.
2. hackthissite :hackthissite是一个社区驱动的网站，提供了各种挑战，包括SQL注射挑战.它针对初学者，并提供了一个安全且法律的环境来练习黑客入侵技术.
3. webgoat :webgoat是一个基于Java的Web应用程序旨在向开发人员传授Web应用程序安全漏洞，包括SQL注入.您可以在本地计算机上安装一个独立的环境.
4. sqli labs :sqli labs是一个专门设计的Web应用程序用于实践SQL注入技术.它包括各种挑战，从易于高级到先进，提供了一个安全，法律的环境来练习SQL注入.

重要的是要记住，尽管这些网站这些网站对于学习和练习SQL注射可能是有用的，不应用于任何恶意目的.始终使用道德黑客实践，并在进行安全测试时遵循法律和道德准则.

推荐答案2

SQL注入属于Web应用程序安全性，因此您必须找到Web应用程序易受伤害的地方，其中一些位置在下面列出.这些是专注于Web应用程序安全性的应用程序，VM，网站.一些应用程序解决方案可以在此处提供 Youtube

Bwapp (php/mysql)

badstore (perl)

bodgelt store (Java/jsp)

bazingaa (PHP)

butterfly security project (php)

commix (php)

cryptOMG (php)

DVNA (node.js)

(php)

(php)

Exploit KB Vulnerable web app (php/mysql)

Foundstone会遇到许多挑战(.NET，MySQL，Java，Ruby，Coldfusion，C ++，J2EE)

• 发​​现的石头包含.这些全部来自McAfee
• hackme bank
• hackme books
• hackme casino
• hackeme shipping
• hacme travel hacme travel <跨度>

gameover compandains(J2EE，php，java，perl，jsp) )

• gameover包含许多脆弱的应用
• ZAP Wave ZAP Wave <
• DVWA DVWA (PHP)
• Mutillidae
• webgoat <跨度>
• Gho st st
• OWASP Hackademic
• Vicnum
• Wackopicko
• OWASP Insecurewebapp
• Puzzlemall Puzzlemall
• WAVSEP

hackxor (perl)

(php/mysql和Rest API)也> (javascript)

LAMPSecurity (php/mysql)

MCIR (php/mysql)

Moth (php，java，java )

NoWASP (php) - aka mutillidae ii 态> OWASP BWA (Java，PHP，Perl，Struts，Struts，JavaScript，asp.net，c#)

OWASP Node Js Goat project (node.js)

OWASP Security Shepherd (java，tomcat，mysql)

OWASP SiteGenerator (.net)

Pentester Lab Pentester Lab (bash-shellshock，Java-Play框架，Apache和Tomcar，Lampand Lapp，Ruby，Python):为了练习一些您需要支付的挑战，但确实值得付款.我没有付款，但我的朋友做到了，他在Facebook，AWS中发现了Bug.如果他说的是值得的，那么您付出的钱确实为您的技能增加了一些价值

Securibench (Java)

SentinelTestBed (php，php， sqlite)

SocketToMe (Web sockets)

sqli-labs (php)

VulnApp (asp.net)

Vulnerawa (php)

Webgoat Webgoat (.net)

Web Security Dojo ( Java，PHP，Python，Ajax，REST，JSON)

XVWA (php/mysql)

推荐答案3

我正要传达这个问题，但是好奇心使我变得更好……

lo and lo and:

推荐答案4

是.正如其他人提到的那样，具有安全的编码实践(例如使用绑定变量而不是使用文字)当然是建立SQLINPOINT PROCE PRICENT网站的最有效方法.

作为提供商/组织，通常您最终会处理您无法控制和没有代码的遗产或第三方申请，或者您认为您不能简单地冒着影响您业务的Sqlindoction攻击的风险，仅仅是因为您无法控制(或无法控制)开发人员正在编写的内容.这是数据库防火墙(DBFW)可以提供帮助的地方.特别是基于SQL语法的DBFW.这些数据库防火墙在应用程序和数据库之间部署，了解应用程序正在发送的SQL，并创建仅允许已知的SQL到数据库的白名单策略.如果您尝试在脆弱的网站中操纵一些输入字段，这将生成未知的SQL，并且永远不会到达数据库.

推荐答案5

是的，您可以！在构建网站并托管时，请遵循一些最佳实践.让我们看看一些最佳实践，以及如何在网站上应用它们

1. 使用准备的语句(带有参数化查询)
1. 这将停止从URL发出的任何查询并通过数据库
2. 使用存储过程
1. 由于查询存储在数据库中列表输入验证
1. URL中的所有额外字符都被过滤
3. 逃脱了所有提供的用户输入
1. 没有额外的字符可以从UI

输入业务层您可以添加更多的安全层，但我认为，在一天结束时，您必须通过更新管理安全性，并且需要严格遵循最佳练习.

查看全文