SQL注入攻击原理.docVIP

《计算机系统安全》 课程结课论文 《SQL注入攻击原理》 学生姓名 陈平 学 号 5011212516 所属学院 信息工程学院 专 业 计算机科学与技术 班 级 计算机16-5 指导教师 李鹏 塔里木大学教务处制 摘要：SQL注入式攻击是黑客攻击数据库的常用手段，SQL注入式攻击是把SQL命令插入到Web表单的输入域或页面的网址（URL）中，欺骗服务器执行恶意的SQL命令。本文对SQL注入式攻击的原理以及注入条件分析。 关键词： SQL注入式攻击 注入特点 防范措施 目录 TOC \o 1-3 \h \u  HYPERLINK \l _Toc273 正文  PAGEREF _Toc273 1  HYPERLINK \l _Toc3011 1 .SQL注入攻击网络背景  PAGEREF _Toc3011 1  HYPERLINK \l _Toc27244 2. SQL注入概述  PAGEREF _Toc27244 1  HYPERLINK \l _Toc3622 3.什么是SQL注入攻击  PAGEREF _Toc3622 2  HYPERLINK \l _Toc28679 4.可能导致SQL注入的隐患  PAGEREF _Toc28679 2  HYPERLINK \l _Toc32420 5.SQL注入的主要危害  PAGEREF _Toc32420 3  HYPERLINK \l _Toc9150 6.SQL注入式攻击的原理  PAGEREF _Toc9150 3  HYPERLINK \l _Toc14478 7.SQL注入的特点  PAGEREF _Toc14478 3  HYPERLINK \l _Toc18677 8.SQL注入的条件  PAGEREF _Toc18677 4  HYPERLINK \l _Toc22951 9.SQL注入成因  PAGEREF _Toc22951 5  HYPERLINK \l _Toc5777 10. SQL注入攻击的防范  PAGEREF _Toc5777 5  HYPERLINK \l _Toc13508 10.1.SQL注入攻击防范方法：  PAGEREF _Toc13508 5  HYPERLINK \l _Toc13705 10.2 .使用安全的账号和密码策略  PAGEREF _Toc13705 5  HYPERLINK \l _Toc21135 总结  PAGEREF _Toc21135 6  HYPERLINK \l _Toc18728 参考文献：  PAGEREF _Toc18728 7  第  PAGE \* MERGEFORMAT 6 页 共 7 页 SQL注入攻击原理 正文 1 .SQL注入攻击网络背景 现在让人们越来越头疼的是面临越来越复杂的网站技术，他们利用Internet 执行各种恶意活动，如身份窃取、私密信息窃取、带宽资源占用等。它们潜入之后，还会扩散并不断更新自己。这些活动常常利用用户的好奇心，在用户不知道或未允许的情况下潜入用户的PC，不知不觉中，信息就被传送出去，危害十分严重。 网络威胁可以分为内部攻击和外部攻击两类。前者主要来自信任网络，可能是用户执行了未授权访问或是无意中定制了恶意攻击；后者主要是由于网络漏洞被利用或者用户受到恶意程序制定者的专一攻击。此外攻击者还会采用多种形态，甚至是复合形态，比如病毒、蠕虫、特洛伊、间谍软件、僵尸、网络钓鱼电子邮件、漏洞利用、下载程序、社会工程、黑客等攻击手段都可以导致用户信息受到危害，或者导致用户所需的服务被拒绝或劫持。 2. SQL注入概述 SQL注入是一种将恶意的SQL代码插入或添加到应用（用户）的输入参数的攻击，攻击者探测出开发者编程过程中的漏洞，利用这些漏洞，巧妙的构造SQL语句，对数据库系统的内容进行直接检索或修改。 凡是构造SQL语句的步骤均存在被潜在攻击的风险，因为SQL的多样性和构造时使用的方法均提供了丰富的编码手段。SQL注入的主要方式是将代码插入到参数中，这些参数会被置入到SQL命令中加以执行。不太直接的攻击方式是将恶意代码插入到字符串中，之后再将这些字符串保存到数据库的数据表中或将其当作元数据。将存储的字符串置入动态SQL命令中，恶意代码就将被执行。如果未对动态构造的