SQL注入攻击的分类防御模型的研究.pdfVIP

E-mail：liqh@cesi．ac．cn 信 息 安 全 l．■l●÷≯l●’．●●．． SQL ADefenseModelbasedonInformationStyleofSQLInjection 桂林山水职业学院计算机系 蒙 彪 桂林电子科技大学计算机系 刘俊景 摘 要 介绍了sQ 入攻击的原理，针对当前 1SQL注入攻击。 主要的防御技术进行了详细的分析和研究，在此基础上 1 ． 1概述 结合前人检验模型的思想，提出了一种提交信息分类处 SQL注入攻击在国外最早出现于1999年 ，我国在2002 理的防御模型。 年开始出现这种攻击技术。目前还没有对SOL注入技术的 标准定义 ，微软中国技术中心从两个方面进行了描述…： 关键词 SQL注入 网络安全 网络攻击 (1)脚本注入式的攻击 ； (2)恶意用户输入用来影响被执行的SOL脚本。 Abstract：Inthispaper,f basicprincipleofSQL ChrisAnley对这种攻击形式是这样定义的_2】：当一 injectionwasintroducedandthemaindefensetechnologyof 个攻击者通过在查询语句中插入一系列的SQL语句来将数 itwasanalyzedindetail．BasedontheexistingDetection 据写入到应用程序中，这种方法就可以定义成SQL注入 。 SOL注入攻击就其本质而言，它利用的工具是 SOL的语 Model,animproveddefensemodelwaspresentedaccording 法 ，针对的是应用程序开发者编程过程中的漏洞，“当攻击 totheinforma tionstyle． 者能够操作数据 ，往应用程序中插入一些 s0L语句时， Keywords：SQLinjection；securityofnetwork； SQL注入攻击就发生了 。正是由于 SQL注入攻击利用 的是 SOL语法 ，使得防火墙工具无法对其检测 ，从理论上 attackofnetwork 说对于所有基于SOL语法标准的数据库都是有效的。不幸 的是 ，目前国内的动态网站中用ASP+Access或 SOL Server的 占70％以上 ，用 PHP+MySoL的 占20％，其 他的不足 10％c，这也就给 SOL注入预留了广阔的空间。 随着 Internet的发展 ，基于B／S模式的商业动态网 本文将主要针对ASP+Access或 SOL Server型的动 站的开发越来越受到各大公司的青睐，但编程人员安全意 态网站进行研究。 识淡薄以及安全防御技术的不成熟，给该类网站带来了很 多不安全因素 ，其中SQL注入攻击就是对此类网站的