SQL注入普遍的思路

发现SQL注入位置
判断后台数据库类型
确定XP_CMDSHELL可执行情况
发现WEB虚拟目录
上传ASP脚本
得到管理员权限

sqli-labs搭建

1.下载源文件https://github.com/Audi-1/sqli-labs
2.解压到phpstudy的WWW目录下
3.创建数据库和网站

4.打开本地目录，点击第一个如果出现这个

就算是成功了。

注：

本靶场要在php7以下版本安装，具体可以在网站更改还有数据库密码要与sqli-connections里db-creds.inc一致，不然会报错