SQL注入工具主要是針對Web服務器后臺數據庫的注入，其主要目的是獲取數據庫中的數據。以前常用的SQL注入工具有啊D注入工具及Domain（明小子注入工具），現在常用的SQL注入工具有HackBar、SQLMap、Pangolin、Havij、Safe3 SQL injector及超級SQL注入工具等。

1、HackBar

HackBar是專門用來進行手動安全測試的瀏覽器插件（例如手動測試SQL注入漏洞），如圖1所示。

圖1  HackBar

下載HackBar插件鏈接：https://github.com/ox01024/hackbar_crack

2、SQLMap

sqlmap是一個SQL注入的工具，類似于啊D注入工具及Pangolin注入工具。在ASP網站盛行的年代，一般是用啊D注入工具實現SQL注入；在PHP網站盛行的年代，一般是用Pangolin注入工具實現SQL注入；在JSP盛行的年代，sqlmap流行起來，直接統一了SQL注入工具。sqlmap可以做其他所有SQL注入工具能做的事，甚至做得更好。這便是sqlmap流行起來的原因。啊D注入工具及Pangolin注入工具都是適合Windows系統的SQL注入工具，而sqlmap不僅支持Windows系統，還支持Linux系統。sqlmap不僅有Windows的窗口式注入，也有cmd（或者shell）的命令式注入。sqlmap還支持自寫擴展（例如自寫SQL注入payload等）。sqlmap如圖2所示。

圖2  sqlmap

3、Pangolin

Pangolin是一個在PHP盛行的年代十分流行的SQL注入工具。相對于啊D注入工具而言，Pangolin注入工具對PHP的支持非常好。Pangolin的中文意思是“穿山甲”，穿山甲為何物？穿山甲是一種能夠穿山打洞的生物！SQL注入的本質就是“穿山打洞”！Pangolin如圖3所示。

圖3  Pangolin

4、Havij

Havij是一個SQL注入工具，與Pangolin類似。Havij與其他的SQL注入工具的差異在于其強大的SQL注入方式。使用Havij攻擊脆弱應用的成功率不低于百分之九十。Havij的圖形界面非常美觀，如圖4所示。

圖4  Havij

5、Safe3 SQL injector

Safe3 SQL injector也是一個SQL注入工具，它與Pangolin類似。Safe3 SQL injector是最強大也是最容易使用的滲透測試工具之一，它可以自動檢測與利用SQL注入漏洞并接管數據庫服務器，如圖5所示。

圖5  Safe3 SQL injector

6、超級SQL注入工具

超級SQL注入工具是一款基于HTTP自組包的SQL注入工具，它支持出現在HTTP任意位置的SQL注入，支持各種類型的SQL注入，支持HTTPS模式注入。超級SQL注入工具目前支持bool型盲注、錯誤顯示注入及union注入，支持Access、MySQL、Mssql及Oracle等數據庫的注入，適合在滲透測試實戰時使用。超級SQL注入工具如圖6所示。

圖6  超級SQL注入工具

7、啊D注入工具

啊D注入工具是一款針對ASP及Access較好的SQL注入工具。在過去黑客工具稀有的年代，啊D注入工具有著十分重要的地位，其流行程度相當于現在的sqlmap，啊D注入工具如圖7所示。

圖7  啊D注入工具