SQL注入問題研究與防范方法

袁廣智

摘要：目前許多基于B/S模式網絡服務構架技術的應用程序在設計與開發時沒有充分考慮到數據合法性校驗問題，所以在其使用中存在著不少安全隱患。該文分析了SQL注入攻擊的特點、原理，并對常用注入方法進行了總結。然后在主動式防范模型的基礎上，提出了使用參數化查詢、實施過濾和監視工具、精心編制錯誤消息、及時打補丁并強化數據和限制數據庫的特權等幾種思路和方法。

關鍵詞：SQL注入；數據庫安全；網絡安全

中圖分類號：TP391 文獻標識碼：A 文章編號：1009-3044（2014）35-8400-02

SQL Injection Problem Research and Prevention Method

YUAN Guang-zhi

（The People's Bank of China， Zhoukou Central Sub Branch， Zhoukou 466000，China）

Abstract： At present， many applications of B/S mode network service architecture based on Technology in the design and development were not fully considered data verify the legitimacy of the problem， so a lot of hidden security problems in the use of. This paper analyzes the principle and characteristics of SQL injection attacks， and the commonly used injection methods were summarized. Then based on the active prevention model， proposed to use parameterized queries， implementation of filtering and monitoring tools， elaborate the error message， timely patching and strengthening data and limited database privileges and so on several ideas and methods.

Key words： SQL injection； database security； network security

網絡安全[1]是現階段互聯網時代的一個非常重要的內容。它涵蓋的內容包括網絡系統的硬件、軟件及其系統中的數據，保證這些內容不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。隨著互聯網技術的快速發展，網絡信息安全[2]環境日趨復雜。“棱鏡門”事件的持續發酵與影響，令更多不為人知的監控項目不斷曝光，如何抵御網絡威脅成為各國關注的首要議題之一。“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”已上升為國家戰略。然而，非法網絡攻擊的手段和方式層出不窮，在時刻不停地尋找各種系統的安全漏洞，伺機非法入侵。目前，網絡安全的核心是對Web應用程序和數據庫的保護。

據太平洋電腦網報道，前段時間一黑客組織成員使用SQL注入的方法攻擊了美國海軍的Web應用“Smart Web Move”，此次攻擊直接導致美國海軍超過22萬服役人員的信息被泄露。……