返回
基于sql server的web应用程序注入攻击介绍

基于sql server的web应用程序注入攻击介绍

ID:17725581

大小:45.00 KB

页数:5页

时间:2018-09-05

基于sql server的web应用程序注入攻击介绍_第1页
基于sql server的web应用程序注入攻击介绍_第2页
基于sql server的web应用程序注入攻击介绍_第3页
基于sql server的web应用程序注入攻击介绍_第4页
基于sql server的web应用程序注入攻击介绍_第5页
资源描述:

《基于sql server的web应用程序注入攻击介绍》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、基于SQLServer的WEB应用程序注入攻击介绍常志东曲楠楠(烟台南山学院软件工程学院,山东烟台,265713)摘要:由于网页制作者水平和经验的不足,很多网页中存在着不安全的因素,这就给网页本身以及系统造成了潜在的威胁。特别是一些需要接受输入内容的网页,这种威胁就更加明显,攻击者可能会利用向数据库服务器发送一段包含特殊字符的查询语句,来骗取数据库服务器执行该语句,然后根据返回的出错信息获得想要数据,进而对数据库进行进一步的危险操作,以此来破坏数据库的完整性;因此预防与禁止这些操作就显得极为重要。关键词:sql注入;sql注入攻击;asp+sqlserver;防范

2、。中图分类号:TP31文献标志码:BTheintroductionofinjectioninwebapplicationthatbasedonsqlserverattackingCHANGZhi-dongQUNan-nanSchoolofSoftwareEngineer,,YantaiNanshanUniversity,Yantai,Shandong265713Abstract:Becauseofthewebsitemakerlevelandexperience'sinsufficiency,manywebsiteshavetheunsafefactors,itb

3、ringsonthelatentthreatinwebsiteitselfaswellasthesystem.Especiallysomewebsiteswhichneedtoacceptanimportablecontents,thiskindofthreatmoreobvious,theaggressormaymakeuseoftowarddatabaseservertosendoutaSQLstatementwhichincludesspecialcharacters,tocheatdatabaseservertocarryoutthat,thenaccor

4、dingtoreturnederroneousinformationtogetdatathatitwant,thencarryonafurtherdangerousoperationtothedatabase,tobreaktheintegrityofdatabasewiththis.Soitseemsthatitisextremelyimportanttopreventandforbidtheseoperations.Keywords:sqlinjection;sqlinjectionattack;asp+sqlserver;defence。随着B/S(浏览器/

5、服务器)模式应用开发的发展,使用此种模式编写应用程序的程序员越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有考虑到对用户输入数据的合法性进行判断,使应用程序存在着安全隐患。所谓的SQL注入(SQLInjection)就是用户在web页面需要输入数据处输入若干数据,形成一段数据库查询代码提交给数据库服务器执行,然后根据程序返回的结果,获得某些他想得知的数据,最后根据得到的信息进行进一步操作。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对S

6、QL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。SQL注入攻击是一种常规性的攻击,它可以允许一些不法用户检索你的数据,改变服务器的设置,或者在你不小心的时候黑掉你的服务器。SQL注入攻击不是SQLServer问题,而是不适当的程序造成的。如果你想要运行这些程序的话,你必须明白这冒着一定的风险。下面介绍一下SQL注入:首先把IE菜单=>工具=>Internet选项=>高级=>显示友好HTTP错误信息前面的勾去掉。否则,不论服务器返回什么错误,IE都只显示为HTTP500服务器错误,不能获得更多的提示信息。一、原理了解SQL注入之前先

7、要了解一些基本的B/S模式应用程序的知识,以及浏览器与服务器交互的相关知识。目前,国内的网站用ASP+Access或SQLServer的占70%以上,PHP+MySQL占20%,其他的不足10%。对于ASP+SQLServer的应用程序结构,一个ASP程序实际上是SQLServer的一个客户端,它需要一个合法的SQL登录名和密码去连接SQLServer数据库。下面一段代码是典型的在ASP中连接SQLSERVER的例子:<%rServer=“myserver”‘定义变量保存SQLSERVER服务器名rUid=“sa”‘定义变量保存SQLSERVER登录名rPwd=“

8、123”‘

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。