基于.NET信息系统SQL注入防御研究.docVIP

基于.NET信息系统SQL注入防御研究 　　摘 要:使用.NET开发信息系统是近年来高校广泛采用的一种形式,因此针对它的攻击也日益增多,其中最为严重的SQL注入攻击,可以彻底摧毁数据库,并给攻击者打开登录系统的后门。本文以上海理工大学研究生信息系统和Web网站为研究样本,分析了流行的注入攻击代码,给出了修复此攻击的方法,并设计了一套行之有效的SQL注入防御系统,此方法在实际应用中得到了证明。 　　关键词: .NET;SQL注入;存储过程;信息系统 　　中图分类号:TP309.2文献标识码:A文章编号:1673-8454(2010)13-0011-03 　　 　　一、前言 　　随着网络基础建设日趋成熟,信息系统的应用也越来越广泛,而同时产生的问题就是网络攻击的不断出现。在众多的攻击手段中,SQL 注入式攻击是较易掌握并容易获得成功的一种攻击方式,特别是一些自动化的SQL注入工具的出现,如NBSI2、DOMAIN3等,更是使得许多动态站点成为SQL攻击下的牺牲品。而造成这种情况的一个主要原因就是程序员在编写程序时没有对用户提交数据的合法性进行验证,从而使得程序存在隐患。SQL注入是从正常的WWW端口访问,表面看起来跟一般的Web页面访问没什么区别,这类攻击属于应用层攻击,所以以往的基于包过滤法、基于状态检测法等完全无效。要解决 SQL注入攻击问题,就必须在应用层进行充分的