SQL注入攻击技术及防范措施研究

摘要

由于Internet的普及与应用，通信技术和计算机网络技术得到了迅猛发展，特别是国际互联网的出现，使得计算机以前所未有的速度应用于如政府、商务、企业、教育、医疗等社会的各个领域，这些都深刻地影响着人们的经济、工作和生活方式。而以计算机联网来交流信息的方式已成为现代社会的主流趋势，信息化水平己成为衡量一个国家现代化程度和综合国力的重要标志。与此同时，网络的发展与信息化技术的提高也促使着网络运行与网络内容的安全这一个关键性问题渐渐得到了人们的关注，信息安全也从起初简单的涉及扩展到了多领域多层次的研究阶段。目前至少有70%以上的Web站点存在着SQL注入的缺陷，恶意用户便可以利用服务器、数据库配置的疏漏和精心构造的非法语句通过程序或脚本侵入服务器获得网站管理员的权限和数据库的相关内容，严重的还可以获得整个服务器所在内网的系统信息，它们的存在不仅对数据库信息造成威胁，甚至还可以威胁到系统和用户本身。本文正是针对这些安全关注点对两大平台 (MySQL+PHP+Apache、SQL Server+ASP+IIS)系统进行多种注入攻击技术的实验分析，并同时提出几种全新的注入技巧。