SQL注入攻击原理与防范技术研究

《SQL注入攻击原理与防范技术研究》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、SQL注入攻击原理与防范技术研究摘要：目前网络业务迅速兴起，但由于网络自身固冇的脆弱使网络安全存在很多潜在的威胁。随着网络意识的加强，有效的远程渗透测试采用的是渐进式的综合攻击技术，突破内网提収目标主机的权限，以最终获取机密资料。因此SQL注入攻击为主的web脚本攻击作为进入内网的首选,成为黑客渗透测试中重要的技术之一。关键词：SQL注入原理防范中图分类号：TP309.3文献标识码：A文章编号：1007-9416(2016)04-0000-001SQL注入简介程序员在编写网页代码的时候，常常缺少

2、检验用户输入数据是否合法，这样使整个网站应用存在较高的安全隐患o对于一些非法用户,想要获得某些有用数据或者破坏数据，釆用的方法如下，用户可以通过登录框提交一段数据库查询代码，然后根据网页返回的结果，来判断网站是否有数据漏洞，最后通过查询代码获得某些他想得知的数据，这就是所谓的SQLInjection,即SQL注入［2］。3Sql注入的防范从上面的例子可以看出，如果网页开发者不注意过滤转义字符，很有可能被SQL注入式攻击。那么该如何來防治呢？下面这些建议或许有一定的帮助［3］。（1）对数据进行有效

3、性检测。比如登录名文木框内只能是字母和数字，那么就要校验用户输入的数据是否合法，比如分号、等号、括号和扩折号都必须要进行程序检查。另外，还可以限制输入的数据长度，如果文木框的输入长度限制在十个字符以内，那么就大大减少了有害代码插入的几率。（2）将数据进行封装。在编程中使用session等语句将用户提交的信息封装起来，不要用cookie,这样避免非法用户从cookie中获取重要信息。（3）过滤掉敏感信息。不要在程序代码中出现用户名称和密码，进行查询的数据应从文本框中获取，提高网站的安全性。（4）单

4、引号应过滤掉［4］。就像本文举的实例一样，就是因为没有过滤掉用户的单引号，才让非法用户绕过了密码验证，实现了SQL注入攻击。所以，过滤掉用户输入的单引号，约束了他们的权限，大大避免了遭受SQL注入攻击。（5）编程人员应指定网站错误返回页面。非法用户在提交攻击代码后，会根据页面的提示信息來获取相关服务器应用信息，比如开发者使用的数据库类型，来进行下一次的攻击，因此，编程人员应该指定一个错误页面，不包含任何冇用的信息。（6）对信息进行加密。把数据库中的重要的信息进行加密处理，比如存储口令信息的表和用

5、户名称的表，都可以以密文形式保存，这样大大提高了数据的安全级别。（7）対数据库中的权限进行分离。在数据库中，对用户的权限进行划分，那么，用户只能针对数据库中的授权数据进行查询、删除等操作，防止非法用户对数据库进行访问，提高了数据的安全性。（8）使用监视工具。对数据库使用监视工具是对付SQL注入攻击的强大工具，当发生不太正常的数据访问问题时，数据库管理员会收到警告,从而会减轻大规模的SQL注入攻击的风险。（9）使用专业的漏洞扫描工具。可以使用专业的漏洞扫描工具，专门用来查找网站中的SQL注入漏洞，

6、降低被SQL注入攻击的几率。4结语sql注入在网上非常普遍，许多网站都存在这个漏洞。木文対SQL注入攻击的方法、原理以及攻击进行了研究和总结，并给出了常用的一些SQL注入攻击防范方法，尽可能降低SQL注入所带來的网络安全风险。参考文献[1]邹健•屮文版SQLServer2000发与管理应用实例.2005.[2]萧雍・SQL注入攻击常用函数与命令.黑客防线，2004.[3]张勇，李力，薛倩・Web环境下SQL注入攻击的检测与防御•现代电子技术，2004.[4]徐陋，姚国祥・SQL注入攻击全面预防方

7、法及其应用•微计算机信息，20063（3）：18-20.收稿日期：2016-02-24作者简介：欧贤（1987—）,女，四川成都人，研究生，助教，研究方向：信息系统安全。