返回
oracle数据库sql注入技术探究

oracle数据库sql注入技术探究

ID:5984310

大小:28.50 KB

页数:6页

时间:2017-12-30

oracle数据库sql注入技术探究_第1页
oracle数据库sql注入技术探究_第2页
oracle数据库sql注入技术探究_第3页
oracle数据库sql注入技术探究_第4页
oracle数据库sql注入技术探究_第5页
资源描述:

《oracle数据库sql注入技术探究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Oracle数据库SQL注入技术探究  【摘要】通过SQL注入攻击技术,攻击者可以非法获得对Web应用系统数据库的无限制访问,进一步得到企业和用户的信息,给企业和用户带来了严重经济损失和危害。因此,针对Oracle数据库SQL注入技术的技术研究具有重要的现实意义。【关键词】Oracle数据库,SQL注入技术中图分类号:G250.74文献标识码:A文章编号:一.前言Oracle数据库SQL注入是应用程序开发人员未预期地把SQL代码传入到应用程序的过程。它由于应用程序的糟糕设计而成为可能,并且只有那些直接使用用户提供的值构建SQL语句的应用程序才会受影

2、响。本文主要对Oracle数据库SQL注入技术进行了深入的研究。6二.Oracle网站数据库系统简介Oracle数据库是由全球最大的数据库厂商美国甲骨文公司(即Oracle)设计研发的一组软件系统产品,其核心是分布式数据库,基础是高级结构化查询语言(SQL)。自Oracle问世以来,市场占有率逐步攀升,据相关统计,全世界有90%以上的上市公司、65%的“全球100强”公司都运用Oracle数据库进行电子商务,绝大部分大型网站运行的都是Oracle数据库。Oracle之所以取得这样的成就,与他的以下特点密不可分:1.Oracle数据库是一个通用系统,

3、它的数据管理功能是非常完整的。2.Oracle数据库是一个关系数据库,具有关系完备的特点。3.Oracle数据库是一种分布式数据库,可实现分布式处理的功能。4.适用于各种硬件平台,如PC机、大型机和服务器等。5.适用于各种操作系统,如UNIX、Linux、Windows、WindowsNT、VAX/VMS,和VM/CMS等。6.能够处理多媒体信息,如图片、音频和视频等。7.提供了广泛的安全特性。Oracle数据库设有多个安全层,访问控制、数据完整性验证、授权机制、视图机制、审计机制及加密机制。三.Oracle数据库的的特点1.支持多用户、大事务量的

4、事务处理:以Oracle公司公布的数据为例,Oracle8可以支持2万人的并发用户数,支持的数据量为512PB(1024×1024GB),并充分利用硬件设备、支持多用户并发操作、保证数据一致性。2.数据安全性和完整性控制:Oracle通过权限控制用户对于数据库的存取、实施数据库审计、追踪,以监控数据库的使用状况。63.提供对于数据库操作的接口:Oracle提供了应用程序、软件、高级语言、异种数据库等对数据库来进行存取。4.支持分布式数据处理:从Oracle7开始,Oracle数据库就支持分布式数据处理。使用分布式计算环境,可以充分利用计算机网络系统

5、,使不同地域的硬件、数据资源实现共享。5.可移植性、可兼容性、可连接性:Oracle数据库可以在不同的操作系统上运行,当从一种操作系统移植到另外的操作系统时,只修改少量的代码,其代码的修改率仅为4%。四.Oracle网站数据库SQL注入技术分为以下几种:1.内联注入是指向查询注入一些SQL代码后,原来的查询仍然会全部执行,2.终止式SQL语句注入是指攻击者在注入SQL代码时,通过注释剩下的查询来成功结束该语句。3.时间延迟测试应用是否存在SQL注入漏洞时,经常发现某一潜在的漏洞难以确认。这可能源于多种原因,但主要是因为Web应用未显示任何错误,因而

6、无法检索任何数据。4.使用UNION语句提取数据6在SQL注入攻击中,UNION运算符的潜在价值非常明显:如果应用返回第一个(原始)查询得到的数据,那么通过在第一个查询后面注入一个UNION运算符,并添加另外一个任意查询,便可以读取到数据库用户访问过的任何一张表5.使用条件语句注入使用UINON注入任意查询是一种快速有效的提取数据的方法。但该方法不适用于所有情况,Web应用(即便它们易受到攻击)并不愿意轻易泄露数据。五.通过SQL语句注入进行攻击通过SQL语句注入进行攻击是目前黑客的常用攻击手段。Oracle数据库大多采用B/S模式进行开发,基于这

7、种模式进行编程的程序员数量众多,而各个程序员经验、水平上的差异较大,有许多程序员在编程时,没有对输入的数据进行合法性判断,给数据库应用埋下了安全隐患。非法用户通过提交查询代码,依据程序的返回值,就能够非法得到数据,这就是SQL注入。比如在某个网站中,要求用户输入用户名和密码,然后方能登陆,假定该网站有一个用户kitty,其密码是hk0936,有一黑客不知道其密码,却想通过其身份进行登陆,在通常情形下,用户在用户名框里输入kitty,密码框里输入密码hk0936,输入正确则登陆进入,否则无法登陆。如果程序员的查询语句是:Sql=“select*fro

8、mclientwhereclientname=‘“&name.values&”‘andpassword=‘“&pass.v

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。