一个通用防止SQL注入系统的设计与实现.pdfVIP

第 25卷 第 4期 湖南理工学院学报(自然科学版) V0I．25No．4 2012年 12月 JournalofHunanInstituteofScienceandTechnology(NaturalSciences) Dec．2012 一 个通用防止 SQL注入系统的设计与实现 方 伟 ，方 欣2 (湖南省交通科学研究院，长沙 410015；湖南理工学院 信息与通信工程学院，湖南 岳阳414006) 摘 要：SQL注入攻击是一种很容易实现的入侵方式，攻击者通过检测网页地址的注入入口，构造 SQL语句，非法获 取网站资源．本文介绍了SQL注入形成的原因、检测方法，防止 SQL注入的几种常见的措施，结合实际给 出了一个 SQL 通用防注入 的程序 ． 关键词：SQL注入；攻击；检测；ASP 中图分类号：TP393 文献标识码：A 文章编号：1672．5298(2012)04—0062—04 A GeneralSystem DesignandImplementationof SQLInjectionPrecaution FANGW ei， FANGXin2 (1．HunanCommunicationsResearchInstitute，Changsha410015，China； 2．CollegeofInformationandCommunicationEngineering，HunanInstituteofScienceandTechnology,Yueyang414006，China) Abstract：SQLinjectiona~ackisveryeasytoimplementintrusiondetection，anattackerthroughthewebpageaddressintothe enffance，constructsaSQLstatement，illegalaccesstothewebresources．Thereasonsof thefomrationofSQLinjection，SQL injectionmethodsandtheseveralcommonmeasuresonpreventingSQLinjectionareintroduced，andageneralSQLprevent implantationprocedureisgiven． Keywords：SQLinjection；attack；detection；ASP 随便点开一个网站的连接，例如：http：／／61．187．92．238：5008／newsmore．asp?lm=62’，我们在地址栏的后 面加一个单引号后，看看返回什么呢?会出现一个出错的信息， M icrosoftJETDatabaseEngineerror’80040e14’ Syntaxerrorinstringexpressioninthequeryin’id=62”． ／newsmore．asp，line18 _ 随便输入的单引号竟然被程序执行了．这就是一个 SQL注入的漏洞，通过使用阿D注入工具很容易 就能够获取网站数据库的一些信息，这是很件危险的事情． 1SQL注入的形成 (1)SQLinjectionproduction 程序员的编程水平参差不齐是造成 SQL注入漏洞的主要原因，一个编程新手往往会忽略需要过滤的 危险字段．例如：在设计用户登陆系统的时候，需要对用户名和密码进行判断，一般的代码如下： Dim Usemame，Password name=Request(n“ame”、 Password=Request(“Password”、 SQL=”Select fromuserwherename=”’name’”andpassword=’”Password’’’” 从表面上看这些代码没有