返回
使用query tokenization 来检测和防止sql注入攻击

使用query tokenization 来检测和防止sql注入攻击

ID:15515022

大小:47.50 KB

页数:3页

时间:2018-08-03

使用query tokenization 来检测和防止sql注入攻击_第1页
使用query tokenization 来检测和防止sql注入攻击_第2页
使用query tokenization 来检测和防止sql注入攻击_第3页
资源描述:

《使用query tokenization 来检测和防止sql注入攻击》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、使用QueryTokenization来检测和防止SQL注入攻击抽象的当使用动态查询,有大量的机会,使用者可以在查询中注入一些额外陈述,可能会导致不同的数据库的请求。SQL注入构成的数据或意思信息可以从数据库中被偷走。大多数应用程序设计的方式,对数据的请求从数据库是通过用户输入。攻击者可以在原始的SQL注入查询和获取,更改或查看他的数据没有权限。我们的宗旨研究是开发一种方法,发现和防止的SQL通过检查用户输入是否注入攻击的原因更改在查询的预期的结果。我们提出了一个方法使用查询来检测SQL注入攻击的标记化这是实施的QueryParser方法。

2、当SQL注入攻击者正在他应该使用一空间,单引号或在其输入双破折号。我们的方法原始查询的tokenizing组成,并与注射查询另外,标记化是通过检测到的空间,单引号或双破折号和所有字符串在每次符号构成的标记。令牌后都形成您的阵列,每个令牌是元素阵列。两个数组造成的原件查询和注射查询,得到他们的长度和比较,以查明是否有注射与否。作为因此,对数据的访问可以被授予或拒绝后该数组的长度是相同的或不同的分别。I、说明SQL注入攻击是对任何数据库驱动的威胁应用程序和网站。参考文献[一]指出,当一个网络和主机水平的切入点是充分担保,公共接口由一个应用程序公

3、开成为攻击的唯一来源。SQL注入攻击可以使用的人谁不想可以访问的数据库,窃取,更改或删除数据他们没有权限。参考文献[2]表示,研究人员提出不同的技术来提供一个SQL注入攻击的解决方案(的SQL注入攻击),但其中的许多解决方案都限制,影响其有效性和实用性。我们的研究和探讨了检测方法针对SQL注入保护,这方法包括tokenizing原查询和注射一此外,每一个标记后构成指数数组和fmally两个阵列的形成。一旦对两个数组的长度进行了比较,可以断定是否有或没有注入:如果两个数组的长度是一样的,没有注射否则有注射。在动态查询,事实用户输入可能导致生成

4、的数组的长度不顺应原来的查询之一,因此在系统得出的结论是,最后一个SQL注入对数据的访问被拒绝。我们的做法是由一个QueryParser方法标记化,便于查询,这揭示是否有注射与否。该QueryParser方法将讨论以下部分。引入后,与名称第二节(相关工作)如下。本节讨论不同方式的SQL注射可以做到的。第二节后,下一节命名(我们的方法)如下,它在我们的方法探讨细节。最后,我们结束我们的第四节和第五节工作(结论和参考文献分别)。II、相关工作根据文献[3],SQL注入攻击时当从一个用户输入包括SQL关键字,所以动态生成SQL查询更改预定功能的应

5、用程序中的SQL查询。在为所有类型的SQL注入事实,也没有办法有人可以执行不插入空格注射,单引号或查询中的双破折号。我们的用户没有可以执行单引号注入,当用户输入的类型是数字,例如,下面的查询注射可做到不使用单引号:由学生选择其中UserID=1*00;该注射液可以做这样的:由学生选择其中UserID=100or*1=1;之间的空间'100'和'没有或'不防止查询检索所有学生的信息,但是之间的空间'或'和第一个'我'是因为在强制的情况下一个语法错误的结果。对于用户类型的字符输入,有必要使用单引号。在下面的例子中,使用单引号是必要的,否则有语法

6、错误。选择*从学生其中UserID='Chooi保持';该注射液可以做这样的:从学生选择*其UserID='Chooi保持'或1=1;为'Chooi保持'的单引号和一间'或'空间和第一个'我'是必要的。该注入也可以通过插入双破折号在查询。在SQL中,双破折号是用来增加在查询的回应,因此攻击者可以插入双在查询破折号,使后为注释的一部分。这是强调柯伟,米Muthuprasanna和苏拉杰科塔里说,字符'--'标记的开始在SQL注释一切之后被忽略[4]。这下面的例子说明其中的攻击者使用作为一个SQL注入双破折号。选择*从学生其中UserID='C

7、HOO1';-'和标志着“50;在';-'是一个攻击者注入。简言之,如果攻击者试图使一个注入攻击对任何查询,他(她)一定要使用在他的输入单引号,空格或破折号否则注射不能成功或失败,可以查询语法错误。参考文献[5]显示了一个表,其中包含了一些例子SQL注入攻击类型。III、我们的方法我们的工作由一个方法的实现该检测到一个单引号,空格或双横线;所有字符串在单引号之前,在一个空间,或在双破折号构成的标记。所有的标记组合在一起为使该数组的索引是一个记号。该标记化是为原和查询与注射。在未来,得到的数组进行比较,如果它们的长度不同,打针,否则有被检测没

8、有注射。在图1,图2,图3,图4,原查询和注射查询使用下列标题:•Word表格表示表的名称由有数据检索。•这个词代表的列属性名称或在查询表达式中使用的条件。•这个词UserInp

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。