《表1 SQL注入的时机:基于B/S系统的SQL注入防御技术研究》
SQL注入就是通过输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令[1],从而获得数据,对数据库进行破坏等操作,最终达到控制整个服务器的目的。典型的SQL注入分为两类,分别是数据库平台注入和应用层注入(WEB应用层)。数据库平台注入往往是存在恶意攻击数据库。数据库平台的注入就需要数据库管理人员(DBA)对数据进行全方位的管理,包括数据库的配置,数据库权限的管理等等,能够在数据库层面有效地杜绝SQL的注入;平台注入就是典型的进行发送请求字符串,构成一些特殊的SQL语句(例如“selecr*from Student where from password=‘xxx‘or 1=1”等),从而进行系统的破坏或者获得非法数据。由于SQL注入的信息和普通用户访问的方式一模一样,难以防御,所以SQL注入也成为B/S系统一个很严重的安全问题。典型的输入域和请求查询的时机如表1所示。
图表编号 | XD00116579800 严禁用于非法目的 |
---|---|
绘制时间 | 2020.01.01 |
作者 | 吴涛、张俊 |
绘制单位 | 攀枝花学院、攀枝花学院 |
更多格式 | 高清、无水印(增值服务) |