SQL注入攻击与防御技术研究

摘要

随着计算机网络技术的飞速发展,人们对无处不在的网络依赖程度越来越高,随之而来的一系列网络安全问题也越来越受到人们的重视.目前,SQL注入攻击已成为了黑客攻击的主要手段之一.文章介绍了SQL注入原理,分析了产生SQL注入原因，对实战中经常遇到的重言式、注释符、逻辑错误查询、联合查询、附带查询、存储过程等SQL注入攻击技术进行了深入研究。重点介绍检测SQL注入攻击的各种方法，如黑盒测试、静态检测、动态检测、静态与动态分析相结合、基于污点跟踪技术、随机指令集等。并在实际渗透测试的实践基础上提出一种新的SQL注入检测技术及工具实现：编写代码时要注意用户输入验证、使用参数化语句、输出编码、规范化方法等；在Web应用平台的配置上要注意保护数据库以及其他注意事项。为日后测试SQL注入攻击提供有力的技术支持,为信息系统在SQL注入防御方面提供有力保障.