Web环境下SQL注入攻击的检测与防御.pdfVIP

《现代电子技术》2004 年第 15 期总第 182 期 监测与分析 W eb 环境下 SQL 注入攻击的检测与防御 1 1 2 张　勇 , 李　力 , 薛　倩 ( 1 中国科学院地球环境研究所 黄土与第四纪地质国家重点实验室　陕西 西安　710075; 2 陕西交通职业技术学院　陕西 西安　710021) 摘　要: 简要介绍了 SQL 注入式攻击的原理。在前人提出的“对用户输入信息实施过滤”的技术基础上, 建立了一个 针对 SQL 注入攻击的检测防御备案通用模型。该模型在客户端和服务器端设置两级检查。对于一般性用户误操作和低等 级恶意攻击, 客户端的检查将自动做出反应; 考虑到客户端检查有可能被有经验的攻击者绕开, 特在服务器端设定二级检 查。在文中还提出了对高等级恶意攻击的自动备案技术, 并给出了相应代码。 关键词: 系统安全; SQL Server; SQL 注入攻击; ID S 检测; DDL 模型 中图分类号: T P 39308　　　　　文献标识码: B 　　　　　文章编号: 1004 373X (2004) 15 103 03 D etection and D efen se Aga in st SQL In jection A ttacks 1 1 2 ZHAN G Yong , L I L i , XU E Q ian ( 1 , , , ′, 710075, ; Institute of Earth Environm ent State Key L abo rato ry of L oess and Q uaternary Geo logy Ch inese A cadem y of Sciences X i an Ch ina 2 , ′, 710021, ) Shaanxi Co llege of Comm unication Techno logy X i an Ch ina : Abstract T he m echanism of SQL injection attack is introduced in th is paper