資源描述:
《sql注入攻擊與防御研究》由會(huì)員上傳分享�����,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1���、包頭師范學(xué)院本科畢業(yè)論文包頭師范學(xué)院本科畢業(yè)論文題目:SQL注入攻擊研究學(xué)號(hào):0914490044學(xué)生姓名:何洋學(xué)院:信息科學(xué)與技術(shù)學(xué)院專業(yè):計(jì)算機(jī)科學(xué)與技術(shù)班級(jí):09本指導(dǎo)教師:史勝利二〇一三年五月包頭師范學(xué)院本科畢業(yè)論文摘要SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫進(jìn)行攻擊的常用手段之一����。隨著B/S模式應(yīng)用開發(fā)的發(fā)展����,使用這種模式編寫應(yīng)用程序的程序員也越來越多��。但是由于程序員的水平及經(jīng)驗(yàn)也參差不齊�����,相當(dāng)大一部分程序員在編寫代碼的時(shí)候,沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷����,使應(yīng)用程序存在安全隱患����。用戶可以提交一段數(shù)據(jù)庫查詢代碼��,根據(jù)程序返回的
2�����、結(jié)果,獲得某些他想得知的數(shù)據(jù)����,這就是所謂的SQLInjection,即SQL注入�����。SQL注入是從正常的WWW端口訪問�����,而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別,所以市面的防火墻都不會(huì)對(duì)SQL注入發(fā)出警報(bào)�����,如果管理員沒查看ⅡS日志的習(xí)慣���,可能被入侵很長(zhǎng)時(shí)間都不會(huì)發(fā)覺。但是�,SQL注入的手法相當(dāng)靈活,在注入的時(shí)候會(huì)碰到很多意外的情況��,需要構(gòu)造巧妙的SQL語句�����,從而成功獲取想要的數(shù)據(jù)����。目前有近70%的攻擊行為是基于WEB應(yīng)用,而據(jù)CVE的2006年度統(tǒng)計(jì)數(shù)據(jù)顯示����,SQL注入攻擊漏洞呈逐年上升的狀態(tài)���,2006年更是達(dá)到了驚人的10
3�����、78個(gè),而這些還僅限于通用應(yīng)用程序的漏洞�,不包括更為龐大的專業(yè)web應(yīng)用程序所存在的漏洞。.關(guān)鍵詞:SQL注入攻擊;數(shù)據(jù)庫�;SQL語句包頭師范學(xué)院本科畢業(yè)論文AbstractSQLinjectionattackisoneofthecommonlyusedmeansofhackingattacksagainstthedatabase.WiththedevelopmentoftheB/Smodeapplicationdevelopment,usethismodetowritetheapplicationprogrammerisals
4、omoreandmore.Butbecausetheprogrammer'slevelandexperiencealsoisuneven,aconsiderablepartoftheprogrammerinwritingcode,nottojudgethelegitimacyoftheuserinputdata,maketheapplicationexistencesafehiddentrouble.Usercansubmitadatabasequerycode,onthebasisoftheresultoftheprogram
5���、toreturntoobtaincertainhewantstoknow,thisistheSQLInjection,namely,SQLInjection.SQLinjectionfromnormalWWWportaccess,andthesurfacelookslikeagenericWebpageaccessmakesnodifference,sothemarketofthefirewallwillnotalerttoSQLinjection,iftheadministratordoesn'tseeⅡShabitoflog
6、,invasionmaybealongtimenotfound.However,SQLinjectiontechniqueisquiteflexible,atthetimeofinjectionwillencounteralotofunexpectedsituation,constructingtheSQLstatementsforclever,therebysuccessfullyobtaindesireddata.Therearenearly70%oftheapplicationsisaweb-basedattackbeha
7��、vior,andaccordingtothestatisticsshowthat2006CVESQLinjectionvulnerabilityisrisingyearbyyear,hasrisenanastonishing1078,2006,whichislimitedtogeneralapplicationvulnerabilities,notincludinglargerprofessionalexistingWEBapplicationvulnerabilities.Keywords:SQLinjectionattack
8、s;Database;TheSQLstatement包頭師范學(xué)院本科畢業(yè)論文1引言51.1課題背景51.2課題研究意義51.3國(guó)內(nèi)外研究現(xiàn)狀51.4課題研究?jī)?nèi)容72SQL語言及SQL注入環(huán)境分析82.1SQL語言簡(jiǎn)介82.2SQL注入攻擊網(wǎng)絡(luò)背景83SQL注入攻
