Web项目中的SQL注入问题研究与防范方法

作     者：王云 郭外萍 陈承欢 WANG Yun;GUO Wai-ping;CHEN Cheng-huan

作者机构：湖南铁道职业技术学院信息系湖南株洲412001 

基　　金：湖南省教育科学"十一五"规划重点课题基金项目(XJK06AZC009) 

出 版 物：《计算机工程与设计》 (Computer Engineering and Design)

年 卷 期：2010年第31卷第5期

页      码：976-978,1016页

摘      要：基于B/S模式的网络服务构架技术的应用被普遍采用,许多该类型的应用程序在设计与开发时没有充分考虑到数据合法性校验问题,因此使其在应用中存在安全隐患。在横向比较SQL注入攻击模式的基础之上,分析了SQL注入攻击的特点、原理,并对常用注入途径进行了总结。提出在主动式防范模型的基础上,使用输入验证、SQLServer防御以及使用存储过程替代参数化查询相结合的形式构建出一种有效防范SQL注入攻击的思路和方法。测试结果表明该防范模型具有较高的实用性和安全性。

主 题 词：SQL SQL注入攻击 防范模型 执行模块 防范方法 SQL server防御 

学科分类：0839[0839] 08[工学] 

D　O　I：10.16208/j.issn1000-7024.2010.05.054

馆 藏 号：203533472...