YXcms-含有SQL注入漏洞的源码包，亲测可用真实有效，如有侵权，请联系CSDN管理员删除即可

火龙果软件工程技术中心  随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQLInjection，即SQL注入。SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。　但是，SQL注入

w3af是一个Web应用程序攻击和审核框架。该项目的目标是创建一个框架，以通过查找和利用所有Web应用程序漏洞来帮助您保护Web应用程序。

自用总结的比较好的sql注入时使用的fuzz

凹丫丫新闻发布系统V4.7修改版asp+sqlserver带注入版！本人修改的版本去掉sql过滤！内附安装说明！推荐环境windows server 2003 + iis6.0 + asp + sqlserver 2005 express ! include/conn.asp是数据库连接文件自行设置！在数据库中新建一个数据库（名字随意在conn.asp中也要相对修改），然后新建查询把网站目录下的news.sql里面的内容复制到查询里面执行（会提示错误但是是正常的忽略），在iis中设置网站默认页面为default.asp（不是index.asp）,如果没有权限打开请给网站文件添加everyone

URL采集器，可以根据关键词采集，SQL注入器，傻瓜式找注入点，仅供学习使用，不能用于非法用途，大家可以根据需要下载

1.布利斯基 Blisqy是一种工具，可以帮助Web安全研究人员在HTTP标头上找到基于时间的盲SQL注入，并利用该漏洞。 该漏洞利用对可打印ASCII字符的按位操作（通过盲SQL注入）实现了从数据库（目前仅支持MySQL / MariaDB）缓慢的数据虹吸。 为了与其他Python工具互操作，并使其他用户能够使用Blisqy中提供的功能，可以将此处的模块导入其他基于Python的脚本中。 在测试基于时间的盲SQL注入时，任何网络延迟或拥塞都可能影响您的模糊测试或漏洞利用的有效性。 为了补偿可能导致延迟的网络延迟和不确定性，Blisqy时间比较是动态的，并且在运行时针对每个测试进行计算。 该测试利用greenlet （ greenlet合作调度执行单元）在libevevent循环之上提供了高级同步API。 它提供了一种在短时间内执行有效负载测试的快速有效的方法，而且，一个特定的测试不应影响另一个，因为它们不能以顺序方法完全完成。 1.1。 新的功能） Blisqy现在支持对HTTP标头上的基于时间的盲SQL注入进行模糊测试，并且将主要功能（模糊测试和利用）分离到独立文件中以实现

从HTML注入安全 使用标记的模板文字进行查询，例如 db . query ( sql `SELECT * FROM users WHERE id= ${ userID } ` ) ; 使得SQL Injection攻击几乎不可能被忽视。 所有@databases库都强制使用sql标记的模板文字，因此您不会意外遗漏它们。 然后将查询作为单独的字符串和值传递到数据库引擎： { text : 'SELECT * FROM users WHERE id=?' , values : [ userID ] } 承诺 所有@databases API的设计都一开始就牢记了承诺。 打字稿 用TypeScript编写，因此每个模块都有内置的类型安全性和类型定义。 模块化的 每个数据库驱动程序都作为单独的模块发布到npm，因此您不需要安装不需要的驱动程序。 包裹名字 版 文件 @ databases /连接池 @数据库/展览 @数据库/ mysql @ databases / mysql-test @数据库/ pg @ databases / pg-migrations @ data

学习sql注入的开源平台

SQL注入漏洞全接触.rarSQL注入漏洞全接触.rarSQL注入漏洞全接触.rarSQL注入漏洞全接触.rarSQL注入漏洞全接触.rarSQL注入漏洞全接触.rar