Oracle数据库SQL注入技术探究.docVIP

Oracle数据库SQL注入技术探究 　　【摘要】通过SQL注入攻击技术，攻击者可以非法获得对Web应用系统数据库的无限制访问，进一步得到企业和用户的信息，给企业和用户带来了严重经济损失和危害。因此，针对Oracle数据库SQL注入技术的技术研究具有重要的现实意义。 【关键词】Oracle数据库, SQL注入技术 中图分类号：G250.74 文献标识码：A 文章编号： 一.前言 Oracle数据库SQL注入是应用程序开发人员未预期地把SQL代码传入到应用程序的过程。它由于应用程序的糟糕设计而成为可能，并且只有那些直接使用用户提供的值构建SQL语句的应用程序才会受影响。本文主要对Oracle数据库SQL注入技术进行了深入的研究。 二.Oracle网站数据库系统简介Oracle数据库是由全球最大的数据库厂商美国甲骨文公司（即Oracle）设计研发的一组软件系统产品，其核心是分布式数据库，基础是高级结构化查询语言(SQL)。自Oracle问世以来，市场占有率逐步攀升，据相关统计，全世界有90%以上的上市公司、65%的“全球100强”公司都运用Oracle数据库进行电子商务，绝大部分大型网站运行的都是Oracle数据库。Oracle之所以取得这样的成就，与他的以下特点密不可分： 1.Oracle数据库是一个通用系统，它的数据管理功能是非常完整的。 2.Oracle数据库是一个关系数据库，具有关系完备的特点。 3.Oracle数据库是一种分布式数据库，可实现分布式处理的功能。 4.适用于各种硬件平台，如PC机、大型机和服务器等。 5.适用于各种操作系统，如UNIX、Linux、Windows、Windows NT、VAX/VMS，和VM/CMS等。 6.能够处理多媒体信息，如图片、音频和视频等。 7.提供了广泛的安全特性。Oracle数据库设有多个安全层，访问控制、数据完整性验证、授权机制、视图机制、审计机制及加密机制。 三.Oracle数据库的的特点 1.支持多用户、大事务量的事务处理：以Oracle公司公布的数据为例，Oracle8可以支持2万人的并发用户数，支持的数据量为512PB（1024×1024GB），并充分利用硬件设备、支持多用户并发操作、保证数据一致性。 2.数据安全性和完整性控制：Oracle通过权限控制用户对于数据库的存取、实施数据库审计、追踪，以监控数据库的使用状况。 3.提供对于数据库操作的接口：Oracle提供了应用程序、软件、高级语言、异种数据库等对数据库来进行存取。 4.支持分布式数据处理：从Oracle7开始，Oracle数据库就支持分布式数据处理。使用分布式计算环境，可以充分利用计算机网络系统，使不同地域的硬件、数据资源实现共享。 5.可移植性、可兼容性、可连接性：Oracle数据库可以在不同的操作系统上运行，当从一种操作系统移植到另外的操作系统时，只修改少量的代码，其代码的修改率仅为4%。 四.Oracle网站数据库SQL注入技术分为以下几种： 1.内联注入是指向查询注入一些SQL代码后，原来的查询仍然会全部执行， 2.终止式SQL语句注入是指攻击者在注入SQL代码时，通过注释剩下的查询来成功结束该语句。 3.时间延迟 测试应用是否存在SQL注入漏洞时，经常发现某一潜在的漏洞难以确认。这可能源于多种原因，但主要是因为Web应用未显示任何错误，因而无法检索任何数据。 4.使用UNION语句提取数据 在SQL注入攻击中，UNION运算符的潜在价值非常明显：如果应用返回第一个（原始）查询得到的数据，那么通过在第一个查询后面注入一个UNION运算符，并添加另外一个任意查询，便可以读取到数据库用户访问过的任何一张表 5.使用条件语句注入 使用UINON注入任意查询是一种快速有效的提取数据的方法。但该方法不适用于所有情况，Web应用（即便它们易受到攻击）并不愿意轻易泄露数据。 五.通过SQL语句注入进行攻击 通过SQL语句注入进行攻击是目前黑客的常用攻击手段。Oracle数据库大多采用B/S模式进行开发，基于这种模式进行编程的程序员数量众多，而各个程序员经验、水平上的差异较大，有许多程序员在编程时，没有对输入的数据进行合法性判断，给数据库应用埋下了安全隐患。非法用户通过提交查询代码，依据程序的返回值，就能够非法得到数据，这就是SQL注入。比如在某个网站中，要求用户输入用户名和密码，然后方能登陆，假定该网站有一个用户kitty，其密码是hk0936，有一黑客不知道其密码，却想通过其身份进行登陆，在通常情形下，用户在用户名框里输入kitty，密码