Web环境下SQL注入攻击的检测与防御(2)

网络软件系统工具应用软件联络聊天图形图象教育教学编程开发行业软件游戏娱乐安全相关字体下载源码下载手机软件

您的位置：首页-> 技术文章 -> -> 数据库类-> Web环境下SQL注入攻击的检测与防御(2)

Web环境下SQL注入攻击的检测与防御(2)

作者：未知来源：未知 加入时间：2006-1-26　人气：120

2.2检测 
对提交信息的检查，主要包括数据类型检查、数据长度检查和敏感字符过滤。前两项可利用函数直接办到，敏感字符过滤则需要应用开发方做相应开发。经过总结，对 

<CENTER><IMG src="http://cimg.163.com/catchpic/F/F9/F9E2E1BEC69EFABA56C051A2D2BE9767.jpg" border=0></CENTER>


语句时必须用到的，因此可以针对这些敏感字符，设定过滤函数，在把这些上传的参数结合到查询语句之前对他们进行过滤。下面的2个函数即过滤模块的主要代码： 

<CENTER><IMG src="http://cimg.163.com/catchpic/6/6B/6BFBC9655896795394A5528F053B558A.jpg" border=0></CENTER>


<CENTER><IMG src="http://cimg.163.com/catchpic/4/46/46B82CBEA0D7E6D44928E964031D4656.jpg" border=0></CENTER>

提交非法字符的人，都有可能是SQL注入攻击者。但考虑到用户在正常使用中的误操作也有提交非法字符/字符串的可能，因此客户端的一级检查无论对用户误操作，还是一般性攻击，所做出处理措施只是中止信息提交，给出友好的出错提示。在经过一级检查以后提交到服务器端的信息中仍然包括非法字符/字符串的，惟一的可能是攻击者绕开了客户端的一级检查。对于这种危险的信号，服务器端将从收到的提交信息数据包中提取攻击源的IP地址，存入数据库备查，同时中止针对数据库的操作． 
<CCID_NOBR>

<CENTER><IMG src="http://cimg.163.com/catchpic/C/CC/CC3ED99F48DEF47B377D67ACBA3DEB4C.jpg" border=0></CENTER>


<CENTER><IMG src="http://cimg.163.com/catchpic/0/01/018FC524A5E940C7147F0FDEF691C267.jpg" border=0></CENTER>


<CENTER><IMG src="http://cimg.163.com/catchpic/9/91/914FBC9A11A9AE3E3B4DD91B55BEA944.jpg" border=0></CENTER>


<CENTER><IMG src="http://cimg.163.com/catchpic/2/25/256687BB1F8DF5CC8307344ADB5A00DF.jpg" border=0></CENTER>


<CENTER><IMG src="http://cimg.163.com/catchpic/E/EB/EB66E496E52EB21A94A2CB02F36753B5.jpg" border=0></CENTER>


3、结语 
由于SQL注入攻击针对的是应用开发过程中的编程不严密，因而对于绝大多数防火墙来说，这种攻击是“合法”的。问题的解决只有依赖于完善编程。专门针对SQL注入攻击的工具较少，Wpoison对于用asp，php进行的开发有一定帮助。本文中的DDL模型作为一个整体解决方案，对代码稍加变动也可用于SQL Server以外的关系数据库。已经将该模型应用于某单位的Web数据库开发，取得了良好的效果。本文中给出的代码在Windows 2000 Server+SQL Server 2000环境测试通过。

相关文章：

Web环境下SQL注入攻击的检测与防御(1)

相关软件：

联系我们广告服务友情链接版权说明软件发布下载帮助

阅读排行

Web环境下SQL注入攻击的检测与防御(2)