SQL注入问题研究和防范方法.docVIP

SQL注入问题研究和防范方法 　　摘要：目前许多基于B/S模式网络服务构架技术的应用程序在设计与开发时没有充分考虑到数据合法性校验问题，所以在其使用中存在着不少安全隐患。该文分析了SQL注入攻击的特点、原理，并对常用注入方法进行了总结。然后在主动式防范模型的基础上，提出了使用参数化查询、实施过滤和监视工具、精心编制错误消息、及时打补丁并强化数据和限制数据库的特权等几种思路和方法。 　　关键词：SQL注入；数据库安全；网络安全 　　中图分类号：TP391 文献标识码：A 文章编号：1009-3044（2014）35-8400-02 　　SQL Injection Problem Research and Prevention Method 　　YUAN Guang-zhi 　　（The Peoples Bank of China， Zhoukou Central Sub Branch， Zhoukou 466000，China） 　　Abstract： At present， many applications of B/S mode network service architecture based on Technology in the design and development were not fully considered data verify the legitimacy of the problem， so a lot of hidden security problems in the use of. This paper analyzes the principle and characteristics of SQL injection attacks， and the commonly used injection methods were summarized. Then based on the active prevention model， proposed to use parameterized queries， implementation of filtering and monitoring tools， elaborate the error message， timely patching and strengthening data and limited database privileges and so on several ideas and methods. 　　Key words： SQL injection； database security； network security 　　网络安全[1]是现阶段互联网时代的一个非常重要的内容。它涵盖的内容包括网络系统的硬件、软件及其系统中的数据，保证这些内容不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。随着互联网技术的快速发展，网络信息安全[2]环境日趋复杂。“棱镜门”事件的持续发酵与影响，令更多不为人知的监控项目不断曝光，如何抵御网络威胁成为各国关注的首要议题之一。“没有网络安全就没有国家安全，没有信息化就没有现代化”已上升为国家战略。然而，非法网络攻击的手段和方式层出不穷，在时刻不停地寻找各种系统的安全漏洞，伺机非法入侵。目前，网络安全的核心是对Web应用程序和数据库的保护。 　　据太平洋电脑网报道，前段时间一黑客组织成员使用SQL注入的方法攻击了美国海军的Web应用“Smart Web Move”，此次攻击直接导致美国海军超过22万服役人员的信息被泄露。该次事故美国海军花费了超过50万美元来处理这次的攻击事故。然而在日本电话电报公司（简称NTT）发布的2014全球威胁情报中指出：企业对小规模SQL注入攻击的平均善后开支超过19万美元。由此可见，SQL注入对Web应用产生的损失是很大的。以上发生的事件可以看出， SQL注入绝不是一个过时的安全问题。 　　SQL注入攻击（SQL Injection Attack），缩写为SIA。许多黑客经常使用SQL注入的方法来对数据库进行攻击。当前大部分的网络应用程序都是B/S和C/S模式的。但是目前大多程序员的水平参差不齐，许多程序员在编写代码的时候很少考虑网络安全的问题，因此有好大一部分网络程序都存在安全隐患。SQL注入一般是指用户非法提交一段代码，这段代码可以在服务器程序中做一些不符合服务器安全性的行为，查询别人的信息或者修改数据库信息从而对应用程序造成很大的损失。SQL注入发出的请求一般都是很普通的HTTP请求，因此目前市面的防火墙都不会对SQL注入发出警报。并且，SIA的方式非常多样化，有很多种方法可