从安全编程入手防止SQL注入攻击
- 格式:pdf
- 大小:131.63 KB
- 文档页数:2
表 单特别容 易受 到 S L注人 的攻 击 。而许 多程序 员 Q
些被调用的公共文件中嵌人安全检测的代码。当有 文 件调用 公共 文件 时就 会 自动执行 那些 变量 安全检 测代码 , 从而起到防止 S L注入攻击的 目的。通常 Q 情 况下 ,TI 求 包 括 G T和 P S H 、 P请 E O T两 种 方式 , 实
了。
用这种模式编写程序的程序员也越来越多了。但是 由于程序员水平和经验的差异 ,这就给应用程序留
下 了许 多 安全 的隐 患 ,这 其 中就 包 括 S L注 入 攻 Q
击。
1 S L 注入原理 简介 Q
S L注入 一般 从 正 常 的 的 www 端 口进 行 访 Q
问 。从 表 面上 看 ,Q S L注入 攻 击与 一般 的 We b页面
21 对 用户 提交 的变量 做过 滤和 安全检 测 .
句以访问数据库时 , 会发生 S L Q 注入攻击。如果代
码使用 存储 过程 ,而这 些存储 过程 作为包 含未 筛选
通常程序员在编程的时候没有对用户提交的变 量做 过滤 或安 全检 测 , 因此经 常会 受 到 S L注入 的 Q
攻击 , 一个 网站通 常有 多达 几百个 甚 至上千个 文 件 , 如果 每个 查 询 的文 件 都 使 用 代 码 去 判 断 提 交 的 变 量 , 么程序 的代 码量 会非 常大 , 那 通常 的做法 是在 那
理权 限得 到 系统权 限 。
2 S QL注入 的 防护
通 俗 地说 S L注 人 就是 利用 开发 程 序 代 码 的 Q
漏洞 ,在 运行某 个 网页时 ,人 为的加入 自己的 S L Q 语 句 ,通过 把 S L命 令插 入 到 We 单 递交 或 输 Q b表 入域 名或 页面请 求 的查 询字 符 串 ,最终 达 到欺骗 服 务器 执行 恶意 的 S L命 令 , 改变 网站数 据库 库 记 Q 去 录或 者整个 数据库 的行 为 。 当应 用 程 序 使 用 输入 内 容来 构 造 动 态 S L语 Q
例 如 : A PN T中可 自定 义一个 方 法过 滤非 在 S .E
作 者简介 :陈冬梅 (9 7 )女 , : 17 一 , 工程师 , 主要从事计算 机 网络 系统
和程 序 开 发 工 作 。E malce dn m i17 6 . n — i h n og e1 1@13c : o
SL Q 语句的内容 , 如果包含 > < 、 一 + 术/f l 、 、 =1 0 0年 8月
沙 漠 与 绿 洲 气 象
De e a ssM ee olg s  ̄ nd Oa i tor o y
从安全编程人手防止 S L注入攻击 Q
陈冬 梅
( 疆 气 象服 务 中心 , 疆 新 新 乌鲁 木 齐 8 0 0 ) 30 2
摘
要: 随着互联 网的普及 , 于 BS 式 的应 用开发得 到 了快速 的发展 。 文从 安全 编程 基 /模 本
入 手介绍 了针 对 S L注入 攻 击的一 些 防范措施 。 Q
关键词 : 全编程 ; 安 防止 ;Q S L注入 ; 施 措
随着互联 网的普及 ,基 于 BS模 式 的应用 开发 / 得到 了快速 的发展 , 因为它 的人 门 比较容 易 , 以使 所
信 息或 者 控 制 整个 服 务 器 ,于 是 S L注 人 就 发 生 Q
现 了 H TP请求 信 息过 滤就 可 以避 免 网站 受 到 S L 1 r Q 注入 攻击 。 H T 在 1 P的 G T请 求参 数 中需 要 添加一 r E
些过 滤字 符 , : 如
、 a d x c ns r s l c ld lt I p a e l n Ie e li e t l ee t e ee u d t l c u t I: o n l =I% Ic mi lma t r tu a e c r I hr l d se l r nc t l ha
的用户输人的字符串来传递 ,也会发生 S L Q 注入。
S L注入 可能导 致攻 击者使 用应 用程 序登 陆在 数据 Q
库 中执行命令 。如果应用程序使用特权过高的账户 连 接到数 据库 ,这种 问题会 变 得很严 重 。在某 些表 单 中, 用户 输 入 的 内容 直 接用 来 构造 ( 或者 影 响 ) 动
在 编写 网站 程序 时 ,没有对 用户输 入 的合法 性进 行 判 断或者程 序 中本 身 的变量 处理不 当 ,使应 用程 序 存在 安全 隐患 。这 样 ,用户 就可 以提交 一段 数据库 查询 的代码 , 根据 程序 返 回的结果 , 获得 一些 敏感 的
dcae 同时 程 序 员 应 记 得 检 查 写 程 序 时输 入 的 elr。
和空格 等敏感 字 符 , 应删 除 。 则
3 7
沙 漠 与 绿 洲 气 象
。
第4 卷 增 刊
21 0 0年 8月
D 。。。。。。。。。。。。 。 o’ y 。。。。。。。。。。。。。。t ‘ l。— 。。。r。。。。。。。。。。。 r 。g 。。e。。。d。。。i。’’ ‘ — 。。。。。n。。。。。’。。e o e 。 。 。 。 ta 。 Oa 。 M e 。 o s ss
访 问没 有什 么 区别 ,所 以防火墙 不会有 任何 的警 报
提示 , 如果管理员也没有经常查看 I I S日志的习惯 ,
这 种入侵 很 可能长 时 间都不会 被发 觉 。S L注人 的 Q 手 法非 常灵 活 ,如 果 网络应 用程序 开发 者没有 遵循 安 全编程 的原 则进 行开发 , 击者将 会通 过 8 攻 O端 口 获得 数据 库服 务器 的管理 权 限 ,并 可通 过数据 库管