ＳＱＬ注入攻擊原理及預防

摘要：從2007年底至今，SQL注入式攻擊成為黑客犯罪的主要手段，利用Google搜索引擎來確定注入點，并插入指向惡意內容的鏈接，其造成的威脅是巨大的，通過了解其原理，建立有效的安全體系來防范SQL注入式攻擊。

關鍵詞：SQL；注入攻擊；防范

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)34-1909-02

SQL Injection Reasons and Prevention

ZENG Fang

(Informational Science and Technical School， Jiujiang Institute， Jiujiang 332005， China)

Abstract: From the last quarter of 2007 to now，SQL injection has been mean hacking method by hacker.Using Google search engine to find the loophole and injecting malicious content. It had become a huge threat to us. We had become aware of this kind of method，therefore we had establish a valid and safely security system to defend SQL injection.

Key words: SQL; injection; defend

網絡世界（Network World）的報導，2008年5月后，中國大陸、香港及臺灣地區有數千個網站遭遇新一輪 SQL注入攻擊，引發大規模網站掛馬等安全事件。在過去的4個月中，之前已有3次大規模攻擊，受害者包括某知名防病毒軟件廠商網站、歐洲某政府網站和某國際機構網站在內的多家網站。據Microsoft估算，感染頁面數最多超過10，000頁面/天。

SQL注入是直接從正常是WWW端口黑客會利用SQL注入攻擊，所以很多防火墻都不會對SQL注入發出警報，如果管理員沒查看IIS日志的習慣，可能被入侵很長時間都不會發覺，所以給廣泛的使用。

1 SQL注入式攻擊原理

1.1 SQL為什么會成為廣泛的攻擊方式

隨著B/S模式應用開發的發展，使用這種模式編寫應用程序的程序員也越來越多。但是由于這個行業的入門門檻不高，程序員的水平及經驗也參差不齊，相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。2006年8月16日，第一個Web威脅樣本出現，截止到2006年10月25日，已經產生了第150個變種，并且，還在不斷地演化下去。

黑客利用google的搜索引擎，能夠快速的定位和確定其目標。從2007年底開始，很多網站被損害，他們在用于生成動態網頁的SQL數據庫中存儲的文本中被注入了惡意的HTML