不要在添加，删除，处跑sqlmap,注意不要改变数据库的内容和脱库，

但是，没授权，则么也避免不了，数据库出了问题，你进来过了，追究责任跑不了

事前取得授权；事中不准脱库，只能统计SQL执行后有多少条记录的具体数量来确认影响范围；事后不要保留敏感数据。

渗透测试之sql注入验证安全与攻击性能-CSDN博客  https://blog.csdn.net/AI_Green/article/details/135720445

1. 获得授权：
   • 在进行任何测试之前，确保您已经获得了目标系统或应用的明确授权。这通常意味着您需要与公司管理层、安全团队或法律部门签订渗透测试协议。
   • 确保协议中明确规定了测试的范围、时间、目标以及您可以使用的技术。
2. 保密性：
   • 不要将测试过程中发现的任何敏感信息泄露给未经授权的人员。
   • 在测试结束后，销毁所有与测试相关的数据，确保没有信息泄露的风险。
3. 遵守法律：
   • 了解并遵守所在国家或地区的法律法规，特别是与网络安全、数据保护和隐私相关的法律。
   • 某些国家可能对未经授权的渗透测试有严格的法律限制，因此请务必确保您的行为合法。
4. 使用安全的测试环境：
   • 如果可能的话，使用与生产环境隔离的测试环境进行SQL注入测试。这样可以减少对生产系统的潜在影响，并降低法律风险。
   • 如果只能在生产环境中进行测试，确保测试对业务的影响最小，并尽快修复发现的问题。
5. 遵循道德准则：
   • 不要对未经授权的系统进行恶意攻击或破坏。
   • 在测试过程中，尽量保持低调，避免引起不必要的注意。
6. 及时报告：
   • 一旦发现SQL注入漏洞或其他安全问题，立即向授权方报告。提供详细的漏洞描述、影响范围以及建议的修复措施。
   • 不要利用发现的漏洞进行非法活动或谋取私利。
7. 记录测试过程：
   • 对整个测试过程进行详细的记录，包括测试的时间、使用的工具、发现的漏洞以及采取的修复措施等。
   • 这些记录可以在需要时作为证据，证明您的测试行为是合法和合规的。

一般正常测试没关系,这个看厂商,大一点厂商不允许使用工具进行测试,只允许手工测试,并且不允许修改库,只能查询,一般最多只能查询到库名证明危害就可以了,如果有授权的话,可以询问是否允许注入shell后,进行提权,进行后续的操作,如果只是小厂商的话,挂代理,测,只要网站不出问题,一般没事

1. **获得授权**：

   - 在任何情况下，都应该事先获得目标系统的所有者或管理者的明确书面授权。这意味着你必须得到合法的渗透测试合同或类似形式的许可，证明你是受雇于他们来进行安全测试。

2. **遵守法律法规**：

   - 熟悉并严格遵守当地的计算机犯罪法、网络安全法以及相关法规，比如中国的《网络安全法》或其他国家/地区的相应法律。

   - 不得在未授权的系统上进行测试，以免构成非法入侵或破坏计算机信息系统罪。

3. **限定测试范围**：

   - 明确测试的目标、范围和规则，只针对指定的服务或应用进行SQL注入测试，不超出约定范围。

4. **通知相关部门**：

   - 在测试前告知IT部门、安全部门及可能受到影响的相关团队，确保他们了解测试计划，以便做好准备和配合。

5. **模拟攻击而非真实攻击**：

   - 在测试过程中，只进行非破坏性的模拟攻击，避免实际更改、泄露或损坏数据。

   - 对于可能会触发报警或影响正常业务的操作，提前与客户沟通并设定适当的控制机制。

6. **记录和报告**：

   - 清楚地记录测试过程和发现的问题，生成详细的测试报告，不含任何敏感数据，并在测试结束后立即销毁任何不必要的数据。

   - 提交漏洞报告时，遵循负责任的披露原则，确保报告内容不会成为第三方利用的信息源。

7. **合作与透明**：

   - 与客户的法务部门保持沟通，确保测试活动符合内部政策和行业最佳实践。

8. **保密协议**：

   - 在测试开始前签订严格的保密协议，规定双方在测试期间及之后对所有相关信息的保密责任。

不要在更改数据库原有内容，不要在修改、删除、注册等地方进行注入尝试，避免给数据库产生大量垃圾数据；线程尽可能设置低点，不要脱裤，对于要证明注入点的站点，测出存在注入或者跑到库名为止，测试后不要保留别人站点的敏感数据。另外还要在取得授权的情况下对制定网站进行测试。

1、首先必须要授权测试

2、不要select all，读取表头或者5条数据证明存在即可

3、不要下载、删除数据

4、使用sqlmap写木马一定要注意

必须要授权测试

要避免涉及互联网安全法律问题，在进行SQL注入测试时，请务必遵守以下几点：

1. 合法授权：仅在获得授权的情况下进行测试。确保你有权访问和测试目标系统，最好是经过书面授权或者合同的形式。

2. 仅限测试环境：确保你的测试仅在专门为此目的建立的测试环境中进行，不要将测试应用到生产环境中。

3. 不要破坏数据：在测试过程中，不要对系统中的数据进行任何更改、删除或者破坏操作，以免触犯法律。

4. 不要访问未经授权的数据：避免访问未经授权的数据，包括个人身份信息、财务信息等敏感信息。

5. 记录所有行为：在进行测试时，确保记录所有的行为和操作，以便在需要时进行解释或者证明。

6. 遵守中国安全法律法规：在进行测试时，遵守中国安全的法律法规，了解并遵循与网络安全相关的法律法规。

7. 与合适的团队合作：如果可能的话，与安全团队或者法律顾问合作，确保你的行为符合法律和道德标准。

8. 遵循道德准则：遵循网络安全的道德准则，不要滥用你的技能或者访问权利。

总的来说，要避免涉及互联网安全法律问题，就是要确保你的测试是在合法授权、受控的环境下进行的，并且遵守相关的法律和道德准则。

没有授权下: 只能查(有可能查也会涉及到法律问题)查到库名即可,点到为止

1、严禁对数据库进行增加，修改，删除的操作，负责会影响正常系统业务

2、无论是否授权，都禁止做脱库的行为

3、一切测试需要在有授权的情况下去做，严谨违法渗透，及时在有授权的情况下，也需要对数据进行脱敏保护和保密

在没有授权的情况下建议只爆破出库名，如果跑了大量数据有可能会被人家认为是脱库，

其他的增删改都不要进行

会影响到业务运行的操作不要进行

不要增删改数据库，查询数据也得对方允许后进行。

最好有授权，无授权的情况下一般直接在生产环境测，在增加删除这种功能点不要使用工具去跑，手注只需要注出user证明漏洞存在即可，你也可以去提交src、cnvd等，但是这种情况下严格来说还是触犯法律的，只不过不会追究你

无授权的情况下你就是违法的，日常注意不要添加修改数据，不要使用工具，注出用户或者数据库名证明漏洞就可以，提交到src也不会去追究你责任

sql注入测试的话，只要证明有数据库信息就行了，千万不要在 删除 增加 修改 这三个点乱动，可以查询数据但是别动数据就行了，尽量不要使用工具跑，容易崩。