## 实战视频（引用） <video width="100%" height="auto" controls="controls" preload="meta" src="https://video.gotarget.vip/A/hacker/Injection/SQL/sqlmap.mp4"> </video> ### [谷歌高级语法的资料](https://blog.csdn.net/u014565127/article/details/53868443) ### [Sqlmap的资料](https://www.freebuf.com/sectool/164608.html) ## 简单介绍 ### **谷歌高级语法** ​ 简单说就是帮你更快速、更精确的查找到你想查找的信息，相对目前的浏览器直接文字输入搜索而言，具有更高的效率，也能找到更多正常搜索无法查找到的信息 ### **Sqlmap** ​ **sqlmap**是一个自动化的SQL注入工具，其主要功能是扫描，发现并利用给定的URL进行SQL注入。目前支持的数据库有MySql、Oracle、Access、PostageSQL、SQL Server...... Sqlmap采用了以下5种独特的SQL注入技术 - 基于布尔类型的盲注，即可以根据返回页面判断条件真假的注入 - 基于时间的盲注，即不能根据页面返回的内容判断任何信息，要用条件语句查看时间延迟语句是否已经执行(即页面返回时间是否增加)来判断 - 基于报错注入，即页面会返回错误信息，或者把注入的语句的结果直接返回到页面中 - 联合查询注入，在可以使用Union的情况下注入 - 堆查询注入，可以同时执行多条语句时的注入 ### sql注入 通俗的说就是使用非常规手段，绕过管理员账号密码，获取数据库内部的相关信息和资料。即便是在现在，SQL注入依然是主流的web攻击手段之一。 ### 系统性的学习 [掌控安全学院免费课程](https://ke.qq.com/course/3713084) [封神台](https://hack.zkaq.cn/)（实战演练靶场） ## 注意!!! **未经授权的渗透测试都是违法行为，本帖旨在阐述说明网络安全的常见攻击及其危害，意在提升网安意识**