《表2 SQL注入防护的对比测试结果》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《一种数据流相关过滤器自动插入的注入入侵避免方案》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

将本文所实现的方法TPSQLIA与WAF和关键词过滤等方法进行对比。其中，WAF选用开源的JSP网站防火墙webcastellum[15]。实验通过尝试直接注入、关键字编码、二阶注入、等价函数替换等攻击方法测试防护效果，结果如表2所列。其中，二阶注入使用多重编码、替换等方式将载荷存储于数据库，而触发时通过正常请求数据库中的数据进行，因此一般的WAF方法无法检测出异常行为。对于特定的实现，关键词随机化方案替换的关键词是确定的，虽然其能够限制二阶注入，但攻击者可以根据其替代方案重构攻击语句进行绕过。代码过滤的方法可以通过关键词多重编码的方法进行绕过。本文提出的TPSQLIA方法，通过区分具体的注入类型，对常见的数字型查询直接检查变量的数位，对字符型和搜索型的查询着重对插入额外语句必须的少数平衡字进行过滤，能有效防范关键字编码、等价函数替换等攻击方法，同时本方案通过程序分析方法直接在查询语句之前插入针对具体变量的过滤代码，可以有效对关键字编码和二阶注入方法进行防范。