[发明专利]基于数据库的SQL注入攻击防护方法

说明书

技术领域

本发明涉及网络安全领域，具体涉及一种基于数据库的SQL注入攻击防护方法。

背景技术

Web安全纷繁复杂，危害最严重的当属SQL注入。SQL Injection，中文名称为“SQL注入”是一种数据库攻击手段，也是WEB应用程序漏洞存在的一种表现形式，它的实际意义就是利用某些数据库的外部接口把用户数据插入到实际的数据库操作语言当中，从而达到入侵数据库乃至操作系统的目的。

SQL Injection的主要形式是，直接将代码插入与SQL命令串联并执行的用户输入变量中，间接的将恶意代码注入要在表中存储或作为元数据存储的字符串，在存储的字符串随后串连到一个动态SQL命令中时，执行该恶意代码。基本的攻击是提前终止文本字符串，然后追加一个新的命令。由于插入的命令可能在执行前追加其他字符串，因此攻击者将用注释标记“--”来中止注入的字符串。执行时，此后的指令将被忽略.

SQL Injection攻击技术就其本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者编程中的漏洞，当攻击者能操作数据，向应用程序中插入一些SQL语句时，SQL Injection攻击就发生了。实际上，SQL Injection攻击是存在于常见的多连接的应用程序中的一种漏洞，攻击者通过在应用程序预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。这类应用程序一般是Web Application，它允许用户输入查询条件，并将查询条件嵌入SQL语句中，提交到数据库中执行。通过构造畸形SQL语句攻击者能够获取额外的信息数据。

就风险而言，SQL Injection攻击也是位居前列，和缓冲区溢出漏洞相比，其优势在于能够轻易的绕过防火墙直接访问数据库，甚至能够获得数据库所在的服务器的访问权限。在某些环境下，SQL Injection漏洞的风险要高过其他所有的漏洞。

SQL Injection攻击利用的是SQL语法，这使得这种攻击具有广泛性。特点鲜明：

一、隐蔽性强。利用Web漏洞发起对WEB应用的攻击纷繁复杂，包括SQL注入，跨站脚本攻击等等，一个共同特点是隐蔽性强，不易发觉，因为一方面普通网络防火墙是对HTTP/HTTPS全开放的，另一方面，对Web应用攻击的变化非常多，传统的基于特征检测的IDS对此类攻击几乎没有作用。

二、攻击时间短。可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制，以至于非常困难作出人为反应。

三、危害性大。目前几乎所有银行，证券，电信，移动，政府以及电子商务企业都提供在线交易，查询和交互服务。用户的机密信息包括账户，个人私密信息（如身份证），交易信息等等，都是通过Web存储于后台数据库中，这样，在线服务器一旦瘫痪，或虽在正常运行，但后台数据已被篡改或者窃取，都将造成企业或个人巨大的损失。据权威部门统计，目前身份失窃（identity theft）已成为全球最严重的问题之一。政府网站被攻击和篡改造成恶劣的社会影响甚至被外来势力所利用，已经在危害着社会的稳定。

四、非常严重的有形和无形损失。目前，包括政府以及很多大型企业尤其是在国内外上市的企业，一旦发生这类安全事件，必将造成人心惶惶，名誉扫地，以致于造成经济和声誉上的巨大损失，即便不上市，其影响和损失也是不可估量的。

对于上述SQL注入的风险，目前行业内绝大多数的解决方法只是优化代码质量或者提高防护水平，并不能从根本上解决SQL注入的问题。申请号为200710099534.4的中国专利申请公开了一种SQL注入漏洞检测方法及系统，这种方法及系统是基于程序的，其主要功能是在外部数据进入SQL数据库之前进行拦截和HTTP包的整合，但这种拦截和整合会对外部访问产生影响。

发明内容

本发明的目的在于提供一种基于数据库的SQL注入攻击防护方法，利用硬盘缓存以及底层过滤为整个SQL数据库做一个数据安全壳，所有读取和写入的SQL代码必须经过数据安全壳的过滤，从源头上解决SQL被注入的风险。

本发明的技术方案如下：

一种基于数据库的SQL注入攻击防护方法，包括如下步骤：

（1）为数据库建立数据安全壳

数据安全壳是建立在操作系统层的一个底层驱动，利用硬盘缓存形成的一个虚拟空间，将数据库加载在这个虚拟空间内，数据安全壳包括端口转向驱动、过滤驱动以及管理端；

（2）数据接管