SQL注入原理与防范.docVIP

西南大学研究生课程考试 答 卷 纸 考试科目 网络与信息安全 培养单位 计算机与信息科学学院 专业或专业领域 计算机软件与理论 研究方向 网络应用与WEB智能 级 别 2014 学 年 2014-2017 学 期 第一学期 姓 名 杨海波 学 号 112014321001478 类 别 ②全日制硕士 （①全日制博士 ②全日制硕士 ③教育硕士 ④高师硕士 ⑤工程硕士 ⑥农推硕士 ⑦兽医硕士 ⑧进修) 2014年12 月8 日 研究生院制 课 程 类 别 ① 课程考试方式 ④ 题号 得分 教 师 评 价 一 二 三 四 五 六 七 八 九 十 总分 任课教师签名： 备注：成绩评定以百分制或等级制评分，每份试卷均应标明课程类别（①必修课②选修课③同等学力补修课）与考核方式（①闭卷笔试②口试③开卷笔试④课程论文）。课程论文应给出评语。 SQL注入原理与防范 摘要：SQL注入是指用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。 文章通过构架一台IIS服务器，模拟SQL注入，并通过攻击过程讲解如何进行SQL注入防范。 关键字：SQL 网站攻击 网络防范 SQL注入的基本概念以及实验平台 随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。 作者构架一台WINDOWS+IIS的服务器。网站承载一简单新闻程序。编程使用ASP程序，ACCESS数据库。服务器访问地址（http://localhost/） 数据库名：news.mdb 数据库表：admin news Admin用来存储管理员账号密码相关信息，有下面三个字段 admin_id：表索引，序列号，自动加1 admin_name：管理员账号 admin_pass：管理员密码 表中有一条数据，存储管理员账号密码。 Admin_id Admin_name admin_pass 1 flypig flypig News用来存储新闻网的新闻内容信息，有下面2个字段 News_id：表索引，序列号，自动加1 News_content：文章内容 表中有一条数据，存储了一条新闻。 News_id News_content 1 Hello，world！ 系统前台程序：index.asp(网站主页)，news.asp（新闻列表） 网站后台程序：admin/index.asp(网站管理页面，可以通过管理员账号、密码管理网站) News.asp网站原程序： % dim conn,rs,newsid newsid= Request[?newsid ]? //接收参数 set conn=server.createobject(adodb.connection) DBPath = Server.MapPath(news.mdb) //连接数据库 conn.Open driver={Microsoft Access Driver (*.mdb)};dbq= DBPath sql=select News_content from news where News_id=newsid //读取数据库 set rs=server.createobject(adodb.recordset) rs.open sql,conn,1,1 //用数组RS接收已经读取数据库的内容 response.write rs(News_content) //输出数据 % 当访问：http://localhost/news.asp?news_id=1 时， 系统输出：Hello，world！ SQL攻