本系列课程，将重点讲解Phpsploit-Framework框架软件的基础使用！

本文章仅提供学习，切勿将其用于不法手段！

继续接上一篇文章内容，讲述如何进行Phpsploit-Framework软件的基础使用和二次开发。

现在，我们来讲一下 Phpsploit-Framework 软件的数据库操作功能！

Phpsploit-Framework 软件的 database 数据库管理 模块，分别提供了  query 查询 和 exec 更新两项核心功能。

在正式使用这个功能前，我们先来熟悉几条非常重要的SQL语句。

CREATE USER '数据库账户名称'@'网络访问权限域' IDENTIFIED BY '数据库账户密码';

这条SQL语句的作用是，在数据库服务器中创建指定的数据库账户，并设定网络权限域与密码。

示例：

CREATE USER 'test_huc0day'@'localhost' IDENTIFIED BY 'test_huc0day';

在数据库服务器中创建账户名称为“ test_huc0day ”的数据库账户，对应的账户密码为“ test_huc0day  ”，数据库账户 “ test_huc0day ” 的网络访问限制为 “ localhost ”（本机访问）。

执行完上面的SQL语句，我们就在数据库服务器中创建了一个名称为“test_huc0day” 的数据账户。

GRANT ALL PRIVILEGES ON 数据库名称.数据表名称 TO '数据库账户名称'@'网络访问权限域';

这条SQL语句的作用是，为指定的数据库账户，赋予访问指定数据库和数据表的权限。

示例：

GRANT ALL PRIVILEGES ON *.* TO 'test_huc0day'@'localhost';

在数据库服务器中，为账户名称为“ test_huc0day ”的数据库账户，赋予访问全部数据库及其下属数据表的权利（符号“ * ”，代表全部）。

执行完上面的SQL语句，我们就为数据库账户“test_huc0day” 赋予了访问数据库服务器中所有数据库及其下属数据表的权利。

ALTER USER '数据库账户名称'@'网络访问权限域' IDENTIFIED BY '数据库账户密码';

这条SQL语句的作用是，更新数据库服务器中相关账户的网络访问权限域或账户密码信息。

示例：

alter user 'test_huc0day'@'localhost' IDENTIFIED BY 'test_huc0day';

在数据库服务器中，为账户名称为“ test_huc0day ”的数据库账户，更新网络访问权限域和密码。

执行完上面的SQL语句，我们就为数据库账户“test_huc0day” 更新了网络访问权限域和账户密码信息。

flush privileges;

这条SQL语句的作用是，重新加载授权表(比如，mysql.user 等 ),以便立即进行数据库访问权限的更新。

示例：

flush privileges;

执行完上面的SQL语句，即可使用新创建的数据库账户进行数据库服务器的访问操作。

现在，让我们返回 Phpsploit-Framework 软件的 Database 数据库管理功能 模块！

我们，首先尝试使用，Phpsploit-Framework 软件的 Database 模块的 Query 数据查询功能。

我们可以发现，发送的SQL查询请求，是经过通信加密的！也就是说，我们发送的 数据库账户名称和对应的密码，是密文的！这大大加强了通信数据的安全性！

我们还可以发现，我们发送的SQL查询语句，同样是经过密文加密的！

如果大家细心一些，会发现，每次SQL查询的通信密钥都是动态的。这意味着，即使恶意黑客劫持到了请求包，那么想要进行恶意利用，可能性也是非常低的（通信密钥使用之后，就会失效）！

Phpsploit-Framework 软件的设计者，身为一名资深的白帽子黑客，深知通信安全的重要性！

因此，在 Phpsploit-Framework 软件的设计初期，即考虑到了大量安全因素在里面，致力于打造强大且安全的专业渗透测试工具软件。

细心的你，会发现！Phpsploit-Framework 软件自带了基于访问令牌的安全机制，这意味着绝大部分 CSRF攻击 将对 Phpsploit-Framework 软件无效！

我们可以看到，通过 Phpsploit-Framework 软件的  Database 数据库管理功能，我们可以非常方便地基于SQL语句对数据库服务器进行操作管理。

Phpsploit-Framework 软件的设计者（ huc0day ），对于通信安全是高度重视的！

我们可以看到， Phpsploit-Framework 软件的  Database 数据库管理功能 的请求通信和应答通信，都是经过安全处理的！敏感数据，都已进行了安全加密处理。

Phpsploit-Framework 软件的  Database 数据库管理功能 模块，不但为蓝队的安全运维人员提供了较为方便的、在线式的数据库访问功能，也为红队的渗透测试人员提供了较为强大的WAF防火墙规则绕过功能。

下一篇内容《专业渗透测试 Phpsploit-Framework（PSF）框架软件小白入门教程（十）》