-
从严格的意义来看,SQL注入攻击(SQL Injection Attacks)目前还没有一种标准去定义,普遍接受的观点是微软技术中心根据其攻击形式所下的定义描述。从本质上讲,SQL注入攻击就是利用其语法,对应用程序开发者编程过程中存在的漏洞,攻击者操作数据时向应用程序中插入一些特殊的SQL语句,随之SQL注入攻击就发生了。SQL注入攻击漏洞之所以产生,究其根本原因就是没有对用户输入的数据进行严格的过滤和验证。6397
- 上一篇:实验室设备管理平台研究现状
- 下一篇:信托产品营销国内外研究现状
基于SQL注入最早出现在国外,国外学者的SQL注入攻击研究一直处在前沿,其理论和技术研究都非常深入。在此首先介绍国外对SQL注入的研究成果,国外对于SQL注入攻击的研究主要有:基于动态预处理语句,这是一种从源代码中对SQL注入进行防御的办法;采用签名机制;编码防范;静态分析和动态检测相结合的分析;入侵检测系统;动态分析树等。国外的一些先进理论思想和成熟技术能够为我们的深入研究指明方向。对于国内的SQL注入研究主要有以下几个方面:基于SQL注入攻击检测/防御/备案的防范模型;组装SQL语句语法预分析的方法;编写代码时对用户的输入数据进行严格的检查;在Web服务器端进行设置进而屏蔽错误信息;对传输的数据进行加密处理。随着技术的发展,国内对SQL注入的研究内容越来越广泛,并且在理论和技术方面也逐渐走向成熟。
对于上文国内外研究现状进行的深入分析,我们很容易看出,尽管研究者提出了不少关于SQL注入攻击的技术和方法,但是这些方法在使用过程中仍具有某些局限性或者不能正确处理当前的问题。