存储过程技术在网络考试系统SQL注入攻击防御上的应用.pdfVIP

2013年 第 22卷 第 1期 http：／w／ww．c-S-a．org．cn 计 算 机 系 统 应 用 存储过程技术在网络考试系统SQL注入攻击防御上 的应用① 黄龙军 (绍兴文理学院 计算机系，绍兴 312000) 摘 要：介绍利用SQLServer存储过程来提高网上考试系统的安全性，讨论 SQL注入攻击及采用存储过程的方 法进行防御，给出了网上考试系统中随机生成试卷等存储过程的实现方法．采用存储过程能有效防御 SQL注入 攻击，提高系统的安全性． 关键词：存储过程；安全性；网上考试；SQL注入；SQLServer Application ofStoredProcedurestoDefenseagainstSQL InjectionAttacksinOnline ExaminationSystem HUANGLong-Jun (DepartmentofComputerScience，ShaoxingUmve~iV,Shaoxing312000，China) Abstract：Thispaperdescribestheuseofstoredprocedurestoimprovehteseeurityofonlineexaminationsystem．We discussSQLinjectionattacks，htemethodofdefenseusingthestoredprocedures，andsomestoredproceduresofhte onlineexaminationsystem,suchasrnadomlygeneratedpapers．UseofstoredprocedureseffectuallysecuresagainstSQL injectionattacks，improveshtesystemsecurity． Keywords：storedprocedure；security；onlineexma ination；SQLinjection；SQLServer 网上考试系统是 目前各高校及考试机构进行考试 的字符串的界定符是一对单引号，如’admin’：or运算符 的重要平台，网上考试系统的安全性至关重要．但在 为 “或”运算，表达式 ‘‘表达式 lor表达式2”中只 众多基于ASP．NET的网上考试系统中的实现中，往往 要表达式 1或表达式2为真，则整个表达式为真．恶意 如文献 1所示，在应用程序的代码中直接嵌入 SQL语 攻击者经常利用这些知识进行 SQL注入攻击．经过笔 句．这样的实现方式容易导致 SQL注入攻击2【J，从而 者研究发现，若攻击者采用 SQL 的单行注释符号 “--，’ 导致系统安全性差；另外，还存在代码冗长、系统可维 和单引号进行 SQL注入攻击，会对系统的安全性造成 护性差、网络通信流量大等问题． 致命威胁． SQL注入攻击的原理4【】是在客户端提交特殊代码， 1 SQL注入攻击 非法获取服务器信息．SQL注入攻击4【】是指攻击者把 1．1SQL注入攻击概述 破坏性的 SOL命令输入到 Web页面的表单域，导致 SQL(StructuredQueryLanguage，结构化查询语 Web服务器执行恶意的SQL命令，造成数据库中的数 言)，是关系数据库的标准语言3【】，其功能强大，包括 据泄露、更改、破坏．网上考试系统一旦被 SQL注入 数据查询、数据定义、数据操纵、数据控制等多方面 攻击，损失是难以挽回的． 的功能．SQL本身并没有攻击漏洞，但在应用程序的 1．2SQL注入攻击分析 代码中直接嵌入 SQL语句就容易产生攻击漏洞．SQL 简单起见，我们假设存放网上考试系统的管理员 ① 收稿时间：2012-06—14；收到修改稿时间：2012-07·11 SoftwareTechnique·Algorit