返回
基于sql注入web数据安全防范和优化

基于sql注入web数据安全防范和优化

ID:31777306

大小:65.54 KB

页数:15页

时间:2019-01-18

基于sql注入web数据安全防范和优化_第1页
基于sql注入web数据安全防范和优化_第2页
基于sql注入web数据安全防范和优化_第3页
基于sql注入web数据安全防范和优化_第4页
基于sql注入web数据安全防范和优化_第5页
资源描述:

《基于sql注入web数据安全防范和优化》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于SQL注入Web数据安全防范和优化摘要:SQL注入利用数据库系统的安全漏洞,以及程序中的验证漏洞,构造合适的SQL语句,并通过正常的URL访问进行代码提交,获取数据库中的相关信息,从而实现网站攻击的目的。加强用户提交数据的合法性验证,是防止SQL注入的基本方法。而改善ASP中的Request函数,使其具有对一切用户数据进行合法验证的能力,是SQL注入威胁下,Web数据安全防范方法的最佳优化。关键词:SQL注入;数据安全;防范;优化中图分类号:TP309.5文献标识码:A文章编号:1009-3044(2014)10-218

2、4-04Abstract:Exploitingthesecurityvulnerabilitiesofdatabasesystemandvalidationvulnerabilitiesofthecomputerprograms,SQLinjectionbuildsproperSQLstatements,submitcodebynormalURLaccessandgetrelevantinfonnationfromthedatabaseinordertoachievethegoalofwebsiteattacks・Itist

3、hebasicapproachofpreventingSQLinjectiontostrengthenthelegalityverificationwhileausersubmitsdato.AndundertheSQLinjectionthreat,itisthebestoptimizationofwebdatasafetyprecautionstoimprovetheRequestfunctionofASPsoastomakeitcapabletoverifythelegalityofalluserdata.Keywor

4、ds:SQL-injection;datasecurity;precaution;optimization在当前各类网站建设或者基于Web平台的软件系统建设(以下统称网站)中,由于从事开发的人员的水平与经验,参差不齐,这就直接导致许多网站,都存在着一定程度上的安全隐患,给黑客的攻击留有可趁之机,严重威胁着网站的正常运行。尤其是如果釆用SQL注入进行攻击的话,由于该方法灵活多变,对网站的安全性具有更高的考验。并且,这种注入是通过WWW端口实现的,跟对网站的web页面的正常访问是一样的,因此,这种注入还能绕过许多防火墙的监控,具

5、有很强的隐蔽性。各种原因使然,国内目前绝大部分的网站,都采用asp技术,以Access或者SQL-Server为数据库。因此,笔者以此为技术平台,分析SQL注入的安全威胁、防范对策以及深入的优化策略。1SQL注入的基本原理所谓SQL注入,是指利用网站程序对用户输入数据的合法性验证中存在的漏洞,构造合适的SQL语句,并通过正常的URL访问提交此代码,从而获取并借肋网站数据库中的相关信息,达到攻击的目的。这种注入随着攻击者的SQL语句构造能力愈强,变化也愈巧妙,对网站的开发者在数据安全防范方面的意识与能力,挑战性也就愈强。SQL

6、注入通常有以下四个特征:1)利用用户输入数据的合法性验证漏洞进行突破。这与许多黑客攻击直接利用服务器的安全漏洞进行网站攻击有本质的不同。2)应变性强。能够根据不同的数据库结构,构造出不同的SQL语句,巧妙灵活;3)相关的攻击代码,通过Web端口,伴随着正常的页面访问进行注入,不直接与防火墙或其它安全防范软件进行“硬接触”O4)Access数据库与Sql-server数据库一个共同的特点:如果参与运算的数据的数据类型不正确,就先尝试进行数据类型转换,如果转换失败,会返回一个错误报告。SQL注入正是利用这个特点,故意提交一些错误

7、类型的数据,“诱惑”数据库自觉犯错并报错,从而泄露了重要信息。这一点,也是SQL注入最重要的特征。我们举例实际分析一下SQL注入的基本原理。我们设定网站的测试服务器地址为:http://127.0.0.1,测试的URL为:http://127.0.0.l/art_detail.asp?id=8o通过浏览器的地址栏输入以上URL,并在最后加上一个单引号,使其成为http://127.0.0.l/art_detail.asp?id二8,,然后再次访问。这时,如果服务器在浏览器中返回以下信息:MicrosoftJETDatabas

8、eEngine错误'80040el4'字符串的语法错误在查询表达式'ID=8''中。/art_detail.asp,行9那么,根据这个返回的错误信息就可以作出以下判断:1)该网站存在SQL注入的安全漏洞,这是最基本的判断;2)该网站的数据库是MS-Access,并且连接数据库的引擎是JET

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。