WEB环境下SQL注入功击与防御.docx

摘 要 通过web网站，人们可以随时随地了解全国乃至整个世界正在发生的事情。便利的网络服务不仅吸引了广大的网站用户，同时也吸引了许多的能人异士，但并不是所有人都具备了忠义的精神，有些人会通过破坏或恶意攻击来提高他们的能力，或者实现一些不可告人的目的。这些人，我们称之为黑客。当越来越多的网站遭到黑客行为的破坏时，网站对于相关信息的保护就无法得到保证，即其网站安全性遭到了破坏。采取技术措施，以及管理控制行为，来对信息数据进行处理，以保证其在网站环境中的能够具备完整性，并拥有必威体育官网网址性和可用性，是一般意义上所指网站安全的主要含义。而对其内容的解释一般包含两个方面：一是网站服务器硬件和服务器系统软件的安全，二是网站的信息安全。本文将通过以SQL针对网站的具体攻击形式和影响，以及如何对其进行预防等两方面内容展开讨论，进行具体研究。其中包括对SQL注入的各种方式形式，以及对存在sql注入的web站点所连接的数据库的判断。它包括多种注入方式，如联动查询注入、ascii逐步排查法注入、报错注入、cookie注入、布尔注入、时间注入、宽字节注入，并会以各种数据库相联系，逐一做出相应的例子。 关键词：SQL注入；MySQL；盲注；编码类型 目 录 TOC \o 1-3 \h \u 7044 1 引言 1 16707 1.1 课题背景 1 1695 1.2 SQL注入技术现状 2 8630 1.3 课题研究内容与章节安排 3 8734 2 SQL注入攻击基本理论 5 12873 2.1 搭建web环境技术概述 5 31311 2.1.1 结构化查询语言 5 29340 2.1.2 PHP语言 6 10954 2.2 SQL注入攻击概述 6 10357 2.2.1 常见注入点分析 6 24707 2.2.2 SQL注入攻击目标 7 31257 2.2.3 SQL注入的攻击特点 7 10570 2.2.4 存在SQL注入的根本原因 8 9289 2.3 SQL注入判断数据库类型 8 25668 3 基于注入MySQL数据库的需求分析 9 29023 3.1 MySQL数据库概述 9 798 3.2 需求分析方法选择 11 542 3.3 SQL注入 11 2582 3.4 获取数据需要的SQL语句 14 15920 3.4.1 order by 14 27917 3.4.2 union 15 12649 4 通用SQL注入手法的研究 16 6702 4.1 SQL注入的各类手法分析 16 1092 4.2 显错注入 16 18178 4.3 报错注入 17 28988 4.3.1 报错注入的使用存在场景 17 31456 4.3.2 报错注入常用函数 17 26091 4.4 盲注 18 27161 4.4.1 布尔盲注 19 13840 4.4.2 时间盲注 20 3927 4.5 Head头注入 20 14323 5 基于SQL注入攻击的通用防注入研究 22 7418 5.1 如何进行SQL注入的补救和预防措施 22 7361 5.1.1 SQL注入的补救措施 22 28296 5.1.2 SQL注入的预防研究 23 11468 5.2 针对SQL注入的防范方法 25 8806 6 结语 27 3802 参考文献 29 1640 致 谢 31 PAGE PAGE 28 1 引言 1.1 课题背景 作为一种对当下社会发展起到越来越重要作用的资源，在信息化时代来临之际，信息资源已经具备了战略上的重要意义，而如何对这种资源进行收集、占有和有效利用，也已成为当下社会和国际社会的焦点内容，针对这一焦点内容所产生的竞争和斗争行为也层出不穷。如今，对于维护国家安全、促进社会经济发展、保证社会稳定来说，信息已成为一把双刃剑，当其安全性能够得到有效保证时，能够对发展稳定起到促进作用，反正，则有可能造成威胁。因此，有关于其的安全保证问题，已经成为一个极具讨论和研究意义的课题和备受关注的重点问题。从当下信息技术在人群、社会以及国家相关事务中的应用情况来看，可以说，信息安全已经同国家安全紧密联系在一起。网站作为信息资源的主要载体，会受到攻击，威胁到整个系统。因此，构建安全的信息发布平台显得尤为至关重要。 通过web网站，人们可以随时随地的了解整个国家乃至整个世界发生的事情。便利的网络服务在吸引了广大的网站用户使用的同时，也招来了许许多多的能人异士，但这些人却并不是都具备有忠义精神，有些会以破坏或者恶意攻击来提升自己的能力，或者达到一些不可告人的目的。这些人，我们称之为黑客。当越来越多的网站受到黑客的攻击