SQL与网络数据库的安全.docVIP

SQL与网络数据库的安全 　　摘 要：有些网络数据库没有过滤客户提供的数据中可能存在的有害字符，SQL注射是利用插入有害字符对网络数据库进行攻击的技术。容易防范，但因特网上仍有惊人数量的存储系统易受这种攻击。 　　关键词：SQL；SQL注射；网络数据库 　　中图分类号：TP311.1 文献标识码：A 文章编号：1674-7712 （2013） 22-0000-01 　　随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。由于部分程序员在编写代码的时候，没有对用户输入数据的合法性进行检查和判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些想得知的数据，这就是SQL Injection，即SQL注射，SQL注射已经成为影响网络数据库安全的一大隐患。 　　SQL注射是从正常的WWW端口访问，表面看来和一般Web页面访问没什么区别，不会引起防火墙的怀疑。如果网站管理员没有查看日志习惯的话，就更不容易发现SQL注射了。SQL注射的手法相当灵活，在注入的时候会碰到很多意外的情况。本文介绍一些SQL注射方法和防范方法。 　　目前，国内网站用ASP+Access或ASP+SQLServer的占70%以上，PHP+MySQL的占20%，其他的不足10%。一个简单SQL注射的例子： 　　假设有这样一个网址：http：///sh