防SQL注入攻擊中間件的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，數(shù)據(jù)庫(kù)技術(shù)在存儲(chǔ)、管理大量重要數(shù)據(jù)方面的作用越來(lái)越明顯。與此同時(shí)，網(wǎng)絡(luò)攻擊的目標(biāo)和方法也在不斷變化，其中，針對(duì)Web應(yīng)用系統(tǒng)的占很大一部分，特別是SQL注入漏洞的存在使Web應(yīng)用系統(tǒng)存在嚴(yán)重的安全隱患。通過(guò)巧妙構(gòu)造用戶輸入數(shù)據(jù)，提交惡意的頁(yè)面請(qǐng)求，攻擊者可以獲得并操控網(wǎng)絡(luò)應(yīng)用程序后臺(tái)數(shù)據(jù)庫(kù)里的內(nèi)容，包括企業(yè)和網(wǎng)絡(luò)用戶的機(jī)密信息，如交易數(shù)據(jù)、銀行賬號(hào)等，給網(wǎng)絡(luò)用戶和企業(yè)帶來(lái)了巨大的生活困擾和經(jīng)濟(jì)損失，這就迫切

2、要求在Web應(yīng)用程序中加入對(duì)SQL注入攻擊的檢測(cè)與防范。
　　 近幾年，SQL注入攻擊被不斷利用并持續(xù)發(fā)展，其注入方式呈現(xiàn)出多樣性與隱蔽性等特點(diǎn)，使得Web應(yīng)用系統(tǒng)存在防SQL注入門檻高、投入代價(jià)大、易用性差、互操作能力弱等問(wèn)題，在這種情況下，防SQL注入攻擊中間件應(yīng)運(yùn)而生。
　　 本文通過(guò)將防SQL注入技術(shù)和中間件技術(shù)結(jié)合起來(lái)，將防SQL注入模塊和整個(gè)Web應(yīng)用系統(tǒng)相分離，成為通用的軟件，使二者構(gòu)成一種松耦合的關(guān)系，在

3、提高軟件的可重用性的同時(shí)，也降低了Web系統(tǒng)開(kāi)發(fā)的難度。
　　 本文的主要研究?jī)?nèi)容如下：
　　 (1)設(shè)計(jì)了防SQL注入攻擊中間件的模型。對(duì)該模型的設(shè)計(jì)思想及實(shí)現(xiàn)原理進(jìn)行了詳細(xì)闡述，詳細(xì)介紹了該中間件的工作方式以及在不同工作方式下的執(zhí)行流程，并闡述了該中間件的防SQL注入原理及各組成模塊的具體功能。
　　 (2)實(shí)現(xiàn)了防SQL注入攻擊中間件。對(duì)應(yīng)用編程接口作了詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)，具體介紹了分析器和響應(yīng)器的實(shí)現(xiàn)過(guò)程，包