积分商城

最新搜索: ME32 mfc 解压缩软件 ILI9325 洗衣机原理图 DY_mini80 V2
您现在的位置是:首页 > 技术资料 > 网络安全技术-SQL注入攻击与防御技术白皮书
推荐星级:
  • 1
  • 2
  • 3
  • 4
  • 5

网络安全技术-SQL注入攻击与防御技术白皮书

更新时间:2021-01-10 09:58:01 大小:537K 上传用户:xzxbybd查看TA发布的资源 标签:网络安全 下载积分:4分 评价赚积分 (如何评价?) 打赏 收藏 评论(0) 举报

资料介绍

网络安全技术-SQL注入攻击与防御技术白皮书

摘 要:SQL注入攻击是一种比较常见的针对数据库的漏洞攻击方式。本文对该攻击的原理和 方式,结合示例进行了说明,并介绍了H3C安全产品对于此类漏洞的防御措施及策 略。

1 SQL注入攻击简介 1.1 概述 结构化查询语言SQL是用来和关系数据库进行交互的文本语言。它允许用户对数据 进行有效的管理,包含了对数据的查询、操作、定义和控制等几个方面,例如向数 据库写入、插入数据,从数据库读取数据等。 关系数据库广泛应用于网站中,用户一般通过动态网页和数据库间接进行交互。 常见的动态网页一般都通过形如“http://domain-name/?arg=value”等带 有参数的URL来访问。动态网页可以是asp、php、jsp或perl等类型。一个动态网 页中可以有一个或多个参数,参数类型也可能是整型或字符串型等。 安全性考虑不周的网站应用程序(动态网页)使得攻击者能够构造并提交恶意 URL,将特殊构造的SQL语句插入到提交的参数中,在和关系数据库进行交互时获 得私密信息,或者直接篡改Web数据,这就是所谓的SQL注入攻击。 1.2 技术原理 SQL注入攻击的主要方式是构造巧妙的SQL语句,和网页提交的内容结合起来进行 注入攻击。比较常用的技巧有使用注释符号、恒等式(如1=1)、使用union语句 进行联合查询、使用insert或update语句插入或修改数据等。此外还可以利用一些 内置函数辅助攻击,如使用phpinfo函数显示基本信息,char函数规避单引号等。 下面结合具体例子介绍几种简单的构造方法。 在关系数据库中,数据通常是以表的方式存储。假设存在一个名为user的表格,包 含有id、username、pwd和level四个列,分别表示了用户ID、用户名、密码和权限 等级。 表1中列举了几种简单的构造方法,其中出现的“$username ”和 “$password”等字符串为变量名称。


部分文件列表

文件名 大小
SQL注入攻击与防御技术白皮书.pdf 537K

【关注B站账户领20积分】

相关下载

全部评论(0)

暂无评论
评论赚积分>>

上传资源 上传优质资源有赏金

热门标签

更多>>

最新上传

  • 打赏
  • 30日榜单

热门下载

推荐下载

本站上的所有资源均为源于网上收集或者由用户自行上传,仅供学习和研究使用,无任何商业目的,版权归原作如有侵权,请 来信指出,本站将立即改正。

ICP许可证号:京ICP证070360号     21IC电子网 2000- 版权所有

京ICP备11013301号

京公网安备 11010802024343号