SQL注入攻击原理及安全防范措施研究

龙源期刊网 http://www.qikan.com.cn

SQL注入攻击原理及安全防范措施研究

作者：赵伟

来源：《数字技术与应用》2011年第04期

摘 要：SQL注入就是攻击者通过正常的WEB页面,把自己SQL代码传入到应用程序中,从而通过执行非程序员预期的SQL代码,达到窃取数据或破坏的目的。随着网络产业的迅猛发展，基于B/ S模式的网络应用越来越普及，在这些网络程序中，如果不对网页中用户提交的数据进行合法性判断和过滤，就可能导致安全隐患，恶意的浏览者可以通过提交精心构造的数据库查询代码，这就是所谓SQL 注入。 关键词：SQL 注入 数据安全 数据库

中图分类号：TP3 文献标识码：A 文章编号：1007-9416（2011）04-0121-01 1、前言

随着网络产业的迅猛发展，基于B/S模式(即浏览器/服务器模式)的网络应用越来越普及，这些Web站点大多使用Web脚本语言后台数据库系统开发，在这些网络程序中，如果不对网页中用户提交的数据进行合法性判断和过滤，就可能导致安全隐患，黑客可以通过提交构造好的数据库查询代码，得到返回信息，通过返回结果获的网站的敏感信息，这就是所谓SQL注人。SQL注人攻击不仅可能使我们敏感的数据库信息被非法浏览、修改或删除，甚至可能使我们的服务器被黑客控制，成为“砧板上的肉鸡”。

2、SQL注入原理

SQL注入就是攻击者通过正常的WEB页面,把自己SQL代码传入到应用程序中,从而通过执行非程序员预期的SQL代码,达到窃取数据或破坏的目的。

应用程序通过具有高权限的账号连接数据库，将产生注入风险。数据库的某些表中，用户可以直接通过输入指令来构造SQL命令，或者构造存储过程的参数，使得这些表单存在SQL注入风险。而很多网站程序在开发时，并没有对用户的输入进行有效行、合法性的验证或者程序自身的算法中没有过多的考虑限制因素，使得应用程序存在很多安全漏洞。黑客可以通过提交一段特定代码，得到程序的返回结果，进而获得网站的敏感的信息或者控制整个服务器。