SQL注入攻击原理精编.docVIP

《计算机系统安全》 课程结课论文 《SQL注入攻击原理》 学生姓名 陈平 学 号 5011212516 所属学院 信息工程学院 专 业 计算机科学与技术 班 级 计算机16-5 指导教师 李鹏 塔里木大学教务处制 摘要：SQL注入式攻击是黑客攻击数据库的常用手段，SQL注入式攻击是把SQL命令插入到Web表单的输入域或页面的网址（URL）中，欺骗服务器执行恶意的SQL命令。本文对SQL注入式攻击的原理以及注入条件分析。 关键词： SQL注入式攻击 注入特点 防范措施 目录 正文 1 1 .SQL注入攻击网络背景 1 2. SQL注入概述 1 3.什么是SQL注入攻击 2 4.可能导致SQL注入的隐患 2 5.SQL注入的主要危害 3 6.SQL注入式攻击的原理 3 7.SQL注入的特点 3 8.SQL注入的条件 4 9.SQL注入成因 5 10. SQL注入攻击的防范 5 10.1.SQL注入攻击防范方法： 5 10.2 .使用安全的账号和密码策略 5 总结 6 参考文献： 7  SQL注入攻击原理 正文 1 .SQL注入攻击网络背景 现在让人们越来越头疼的是面临越来越复杂的网站技术，他们利用Internet 执行各种恶意活动，如身份窃取、私密信息窃取、带宽资源占用等。它们潜入之后，还会扩散并不断更新自己。这些活动常常利用用户的好奇心，在用户不知道或未允许的情况下潜入用户的PC，不知不觉中，信息就被传送出去，危害十分严重。 网络威胁可以分为内部攻击和外部攻击两类。前者主要来自信任网络，可能是用户执行了未授权访问或是无意中定制了恶意攻击；后者主要是由于网络漏洞被利用或者用户受到恶意程序制定者的专一攻击。此外攻击者还会采用多种形态，甚至是复合形态，比如病毒、蠕虫、特洛伊、间谍软件、僵尸、网络钓鱼电子邮件、漏洞利用、下载程序、社会工程、黑客等攻击手段都可以导致用户信息受到危害，或者导致用户所需的服务被拒绝或劫持。 2. SQL注入概述 SQL注入是一种将恶意的SQL代码插入或添加到应用（用户）的输入参数的攻击，攻击者探测出开发者编程过程中的漏洞，利用这些漏洞，巧妙的构造SQL语句，对数据库系统的内容进行直接检索或修改。 凡是构造SQL语句的步骤均存在被潜在攻击的风险，因为SQL的多样性和构造时使用的方法均提供了丰富的编码手段。SQL注入的主要方式是将代码插入到参数中，这些参数会被置入到SQL命令中加以执行。不太直接的攻击方式是将恶意代码插入到字符串中，之后再将这些字符串保存到数据库的数据表中或将其当作元数据。将存储的字符串置入动态SQL命令中，恶意代码就将被执行。如果未对动态构造的SQL语句所使用的参数进行正确性审查，那么攻击者就很可能会修改后台SQL语句的构造。如果攻击者能够修改SQL语句，那么该语句将与应用的用户拥有相同的运行权限。当SQL服务器执行与操作系统交互的命令时，该进程将与执行命令的组件拥有相同的权限。 3.什么是SQL注入攻击 SQL注入（Structured Query Language Injection）技术在国外最早出现在1999年，我国在2002年后开始大量出现，目前没有对SQL注入技术的标准定义，微软中国技术中心从2个方面进行了描述： （1）脚本注入式的攻击 （2）恶意用户输入用来影响被执行的SQL脚本 我理解的SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到执行恶意的SQL命令根据程序返回的结果，获得某些想得知的数据随着B/S模式应用开发的发展， 2、系统对用户输入的参数不进行检查和过滤，没有对用户输入数据的合法性进行判断，或者程序中本身的变量处理不当，使应用程序存在安全隐患。 3、因为SQL注入主要是针对web应用程序提交数据库查询请求的攻击，与正常的用户访问没有什么区别，所以能够轻易的绕过防火墙直接访问数据库，甚至能够获得数据库所在的服务器的访问权限。 5.SQL注入的主要危害 1、未经授权状况下操作数据库中的数据，比如管理员密码，用户密码等信息； 2、恶意篡改网页内容，宣传虚假信息等； 3、私自添加系统帐号或者是数据库使用者帐号； 4、网页挂广告、木马病毒等； 5 、…… 6.SQL注入式攻击的原理 SQL 注入攻击技术就其本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者编程中的漏洞，当攻击者能操作数据，向应用程序中插入一些SQL语句时，SQL攻击就发生了。直接将代