见各种招聘的要求，对于owasp-top10的漏洞要求都有提到，虽然之前也大略的玩过DVWA，但是在此做个总结，方便借此梳理下自己的知识脉络。也方便以后对于面试基础问题的问答

1.1 什么是SQL注入

通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终欺骗服务器执行恶意的SQL命令。

 

 

注入漏洞十分普遍，尤其是在遗留代码中。注入漏洞通常能在SQL、LDAP、XPath或是NoSQL查询语句、OS命令、XML解析器、SMTP包头、表达式语句及ORM查询语句中找到。注入漏洞很容易通过代码审查发现。扫描器和模糊测试工具可以帮助攻击者找到这些漏洞。