sql注入攻击的防范.docxVIP

sql注入攻击的防范 1 销售条件嵌入web技术 在本质上，sql注入遵循其规则。在应用程序中，提前定义的sql语句的结尾添加额外的sql语句元素，欺骗数据库服务器，并执行未知的任意查询。基于Web技术的应用程序允许用户输入查询条件, 并将查询条件嵌入SQL请求语句发送到与该应用程序相关联的数据库服务器执行。因此, 通过构造一些畸形的输入, 攻击者能够操作这种请求语句去获取预先未知的结果。 2 传统的sql注入方法不同于基于时间的sql注入方法 2.1 数据库库名长度 为了便于理解, 以下以SQL Server 2000数据库默认的Northwind库为例说明。传统的SQL注入技术是通过Web页面返回的结果信息 (如正确页面、出错页面) 来判定所执行的条件是否为真, 如页面 (/mysite/sqltest.asp?Product ID=4) 所执行的SQL语句: SELECT*FROM Products WHERE Product ID=4 当攻击者修改Prod ID参数, 访问URL为/mysite/sqltest.asp?Prod ID=4 and (select len (db_name () ) ) 3时, 页面执行的SQL语句为: SELECT*FROM Products WHERE Product ID=4 and (select len (db_name () )