上周五晚上，我和同事(外号xp)在吃饭的时候，突然接到电话说公司线上系统被人黑了。无法正常打开。听到这样的消息，作为程序猿心里很不舒服，同时也感到无能为力。作为java程序员很少涉及到网络安全。平时做的开发是业务逻辑处理程序。最近又有一个系统要上线了，最大的担心是系统安全。java开发的线上系统，最频繁收到的攻击是sql注入。所以在系统上线之前，自己测试一下sql注入。使用到的工具是sqlmap。

1，准备安装sqlMap

（1）下载python地址：

http://www.baidu.com/link?url=t-sUHf9AMcr7sdxo4-Vsw0OPV0KxfocimihoPjyHWR2vNr1DzZgWfpApSBm_mZpXevqPL7Q52i5hgScZmu4Mca&ie=utf-8&f=8&tn=baidu&wd=%E4%B8%8B%E8%BD%BDpython&sug=sqlmap%E6%95%99%E7%A8%8B&oq=sqlmap&inputT=18704&bs=python%E5%AE%89%E8%A3%85%E5%AE%8C%E6%AF%95%20%E6%80%8E%E4%B9%88%E6%A3%80%E6%B5%8B%E5%AE%89%E8%A3%85%E6%AD%A3%E7%A1%AE

（2）.安装python环境，双击运行rj_ys0869.exe

（3）.在配置环境变量，在window的我的电脑 右击选择属性-高级属性-高级-环境变量，选择path变量编辑，在path变量的最后添加;python安装路径，路径下包含python.exe

（4）.校验python是否安装成功：win+r显示运行输入cmd,在命令行输入python命令，如果显示python环境信息则说明安装成功。如下

Python 3.3.5 (v3.3.5:62cf4e77f785, Mar  9 2014, 10:37:12) [MSC v.1600 32 bit (In

tel)] on win32

Type "help", "copyright", "credits" or "license" for more information.

>>>

2，正式安装sqlmap

（1）.下载sqlmap,绿盟下载地址：http://url.xdowns.com/down/%E4%B8%87%E8%83%BD%E6%B3%A8%E5%85%A5%E7%A5%9E%E5%99%A8sqlmap@67_112718.exe

（2）.下载后解压就获得sqlmap了。

（3）.简单测试一下sqlmap

sqlmap.py -u "http://172.16.16.29/agentorder/loginController/login.do?flag=1" --json"userName=123&password=123"