火龙果oracle数据库安全创新.pptVIP

SQL注入技术的含义 (1) 脚本注入式的攻击 (2) 恶意用户输入用来影响被执行的SQL脚本 　　当一个攻击者通过在查询语句中插入一系列的SQL语句来将数据写入到应用 　　程序中，这种方法就可以定义成SQL注入。 　　“从一个数据库获得未经授权的访问和直接检索”，SQL注入攻击就其本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者编程过程中的漏洞，“当攻击者能够操作数据，往应用程序中插入一些SQL语句时，SQL注入攻击就发生了”。实际上，SQL注入是存在于常见的多连接的应用程序中一种漏洞，攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。这类应用程序一般是网络应用程序(Web Application)，它允许用户输入查询条件，并将查询条件嵌入SQL请求语句中，发送到与该应用程序相关联的数据库服务器中去执行。通过构造一些畸形的输入，攻击者能够操作这种请求语句去获取预先未知的结果。 SQL注入攻击的防御手段 方案有： 　　(1) 在服务端正式处理之前对提交数据的合法性进行检查； 　　(2) 封装客户端提交信息； 　　(3) 替换或删除敏感字符/字符串； 　　(4) 屏蔽出错信息。 SQL注入攻击的防御手段 方案(1)在服务端正式处理之前对提交数据的合法性进行检查被公认是最根本的解决方案，在确认客户