基于SQL注入的数据安全测评技术研究

作     者：赵阳 

作者单位：沈阳工业大学 

学位级别：硕士

导师姓名：尹铁源

授予年度：2012年

学科分类：0839[工学-网络空间安全] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：SQL注入 网络爬虫 数据安全 注入检测 

摘      要：随着B/S模式应用技术的迅猛发展以及数据库在Web中的广泛应用,SQL注入逐渐成为了黑客对数据库进行攻击的最常用的手段之一。但是由于B/S模式的程序开发人员水平参差不齐,导致相当数量的编程人员在程序开发的时候,并没有充分的考虑对用户输入的数据进行合法性验证的问题,使得应用存在严重的安全隐患。因此,基于SQL注入漏洞的数据安全问题就有着重要的研究意义。 首先,论文对现今SQL注入研究领域的国内外研究现状及技术发展趋势进行了分析。阐述了SQL注入的相关原理,并对目前SQL注入的关键技术、基本原理进行了简要的归结和分析,逐一的分析了SQL注入式攻击的常用攻击方法,同时对SQL注入扫描技术和注入检测技术进行剖析和研究。 其次,论文详尽阐述了网络爬虫的工作机理及技术特点,对网络爬虫需要提取的URL存在的几种形态进行具体分析,并在此基础上分析和研究了DOM树生成技术、页面控件绑定事件技术、字典猜测、被动分析、利用搜索引擎等几种技术。然后,论文对在oracle数据库中SQL注入技术进行详细的分析和研究,其中主要囊括了针对oracle数据库SQL注入的相关知识、查询的语句、执行系统命令、读写文件等研究内容。 最后,课题对SQL注入的防御技术进行了研究,提出几种防御方法并阐述了每种防御方法适合的情况。本课题构建了一个基于SQL注入的数据安全系统,并在论文中给出了课题的系统功能模块划分和功能模块的运行示例,并通过对实际网站的检测初步验证了其实效性。