SQL注入式攻击及相应对策

SQL注入式攻击及相应对策

2 9 0月 0年1 0

电脑学习

第5 期

S L注入式攻击及相应对策 Q朱运乔 ' 李岚摘要:本文对 SL注入式攻击的形成原理和主要攻击方式进行了详细分析. Q然后有针对性地提出相应对策.同时也针对复杂的网络环境和其潜在的 S L Q注入式攻击提供了具体的安全保障措施 .

关键词: BS MA S L/ X Q注入攻击

分析对策

中图分类号: r3 30 P 9. 8

文献标识码: B文章编号:0 2 2 2 ( 0 9)5 0 1 - 3 10 - 4 2 20 0 - 17 0

S net nAt csa d C repn igC uemes rs QL Ijci t k n orso dn o tr aue o aZh Yu q a u n i o LlLa n

Ab ta t T e pp repa stemoe n t bLc p n ih fS net n at k n d t . ( p t frad t O= sr c: h ae xli h d sad i~i f cp so QL ijc o tc si ea ml us ow r h Cl n s s i i a l i t e ' -rs o dn o ntr au s o te a o e is e . i la e ul.i lo sr so tte iwp i t f sme sc rt m— e p n ig c u eme s r t h b v su sSmu tn o sy t as ie u h ve ons o o e uiy e

esr e cm l e o ni n et n ep t t l Q n co tc sr pc v y a e t t o pe nt r e v n m n a d t e i L Ij t n a ak set e . n so h x w k o h o na S ei t e i l Ke w r: B S y od/ AA JX S L I et n Q j i n co At k t c a A a s nl i ys C u t esr one au m r e

随着网络编程技术的发展,模 式的 WE B应用程序早以被企业及用

以编写 We用程序的程序员也越 b应

由于这个行业的入门门槛不高, 程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时

来越多,同时越来越多的企事业将自 己的应用及管理系统以 BS模式的/We b应用部署到网络上 .

户所接受,基于 A A J X胖客户端架构的 We b应用程序也正在深入人心,所

候,没有对用户输入数据的合法性进

与资源管理器的界面相似 .有六个分支 (的是五个 ):有 h e— l ssro k y ca e—ot文件扩展名与应用关联及 oe信息; s lh e— urn— sr当前登录用户控制面板选项和桌面 k y c r tue e等的设置,以及映射的网络驱动器;

在注册表编辑器中,打开 H E _ O A _ AC I E y K Y L C L. H N S— M s m C r nC nrl t o t lWi S s m主键并选中. t ur tot S\ nr l yt e e oeC o e e在右侧窗口中新建双字节值,命名为 C riFh lc i, otgi Al Sz将其值 f o e设为 1 4即十进制的 5 0 F, 0.

h e—oa— c ie计算机硬件与应用程序信息; k y lclma hnh e— sr所有登录用户的信息; k y ues

加快窗口显示速度从任务栏中恢复某个程序到桌面,或者最小化应用程序窗口缩小到任务栏上,这个过程具有一

h e— urn— o f k y c r tc n g计算机硬件配置信息; e i h e— y— aa即插即用和系统性能的动态信息. kydndt

定的延迟动态效果 .

可以通过修改注册表达到直接恢复

或缩小窗口 .在注册表编辑器中,打开 H E C R K Y— U—R N S RC n o a e )ss0\ n o Me i,在此 E T U E\ot l Pn l ektpWidWs tc r~ rs

4利用注册表提高系统性能加快速度注册表中包含系统的核心数据,合理地修改注册表,会发挥更大的效用,高系统性能,快计算机运行速度 .在提加修改注册表之前,意将注册表备份.本例能将核心 Wi—注 n d w系统强制保存在内存中,而不是使用内存分页保存到 os硬盘中.这对改进核心系统性能很有帮助,操作步骤如下: 打开注册表编辑器,在运行命令框中输入 rgdt ee i或rgd3 eet2即可打开到"注册表编辑器"口.打开 H E _窗 KYCHI X YS M, u r n C t l e\ o t l e so NE S TE C re t r S t n r\ s i n o C oS L AL MA OC_

项右边窗口空白处,单击鼠标右键选择"新建"单中的菜"串值"令,命输入 M nnma iai t e后回车,修改其值为 0 .

5结束语如果想进一步熟悉 Widw,制视窗,大限度优化 n o s定最系统性能,解决 Widw运行中出现的错误,写功能强大 no s编

的 Widw程序, no s注册表知识必不可少.更深入地开发注册表,能进入"册表"的精彩世界,就注体会到注册表的强大功能 .注册表将是你手中用来驯服 Wi o s的" n w d利器".

Ma aeL e rMa ae e ngr mo n gm n主键并选中 . M y双击右侧窗口中的 Dsbe aig xc t e将其键值设置为 l能够制止核心处 i lPgnE eui, a v,

参考文献【 1】百度知道 h p zi o a u o/ u so/ 0 47 . m?= d t ' h a. i . r q et n 16 9 9 t lr q . t/ d b d cn/ i h f2o 0 5一I . 1

理保存到内存分页中,将键值修改为 0则可以恢复系统默认设置 .退出注册表编辑器,重新启动电脑使更改生效. 当用户运行多媒体应用程序的时候,调用很多文件,会 这样程序运行的速度将变慢,用户可以通过限制每个文件占用资源来加快程序运行速度,具体的操作步骤可以在注册表中完成:

【】虚心.浅谈操作系统 Wi o sX 2刘 n w P中的注册表.北京: d计算机教育, 0 7( ) 20 1 .

【】 3永不完结的梦 .教你轻松玩转注册表 .【】 4注册表应用专区.天极网,t: s ek . mzb ht/ . syc// p/ y o o c

【田放 . no s 5】 Wi w注册表对系统性能提高昀作用. d济南:科技信息,20 8 0 6( ).

收稿日期: 0 9- - 4 20-62 - 0朱运乔湖北职业技术学院信息技术学院讲师 (北,湖孝感 420 ) 300 .· 11 7·

SQL注入式攻击及相应对策

行判断,使应用程序存在安全隐患和攻击漏洞 .这些潜在的安全隐患一旦被黑客技术人员发现,就可能为其攻击的目标,达到破坏网站及窃

取数据的目的 .We b应用程序常见的安全问题就是 S L I etn漏洞,是一些不 Q n ci j o怀好意的黑客人员主要的攻击目标 .

那么生成的 s sl tq字符串为: rsl c· fo ee t rm u e tbe sra l whee d='0 1 r I 0 0a d W D=' q 0 n P z O 01 y

当输入的 i d的值为:0 0 :d lt 01 ee e f m s r b e一 r o u e t l;一 a

p d这时不用输入,t Q w s S L即变成了: re e sl t c fo r m u etbe s r l wh r I 0 01: a e e d='0 d lt} fo u etbe eee rm sra l;一一 a d WD= n P

很明显,在这时该网页起到了身份认证的目的.但是,一些恶意的用户

将会试图发现一种方法来扭曲该命认证,除数据,删甚至做出更为危险的

这时,构成 S L语句的实际上变 Q含义就变成了:首先返回 I d为 0 1 00用户记录,然后删除所有记录,一 符

令,从而导致该被扭曲命令绕过身份成了一个多语句的 S L查询,查询的 Q

1什么是 S L注入攻击 Q所谓 S L注入式攻击,就是攻击 Q者把 S L命令插入到 We Q b表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的 S L命令 .数据处 Q理过程如图 1 .

事情 .如可以这样来输入 i pd d和 w:i= 0 p= y 0 o 1= 1 d 0 01 wd z q 01 r, t

号在 S L Q查询中表示注释开头,这样其后的部分不再有效. 将这样的 S L查询提交给数据库 Q管理系统,其危害性可想而知 .只要但将其中的" (引号 )除掉,询 '单剔查字符串就变成了:s lc ee t d lt eee fo rm u etbe s ra l wh r I 0 01 ee d= 0; fo u etbe一 a d W D= rm s ra l;一 n P

那么生成的 s sl tq字符串为: rsl t{ fo ee c rm u etbe sra l wh r I ee d='0 0 01 ad n PW D='y O 01 o l_ l z q 0 r,

因为条件 I=1叵定成立,~ 这样不 i d和密码是什么,总会得到所 …… 此处隐藏：7923字，全部文档内容请下载后查看。喜欢就下载吧 ……