[发明专利]一种防御SQL注入的方法、装置及系统

说明书

技术领域

本发明涉及计算机技术领域，尤其涉及一种防御SQL注入的方法、装置及系统。

背景技术

随着B/S(浏览器/服务器)模式应用开发的发展，使用这种模式编写应用程序的程序员越来越多，但是，由于大部分程序员在编写代码的时候，没有对客户端侧用户输入数据的合法性进行检测，使得应用程序存在一定的安全隐患，导致应用程序存在结构化查询语言(SQL，Structured Query Language)注入风险。

SQL是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统；而SQL注入通过把SQL命令插入到Web表单中，或把SQL命令输入域名中或把SQL命令插入到页面请求的查询字符串中，最终达到欺骗服务器来执行恶意的SQL命令。攻击者通过SQL注入，对应用程序造成攻击，从而获得敏感信息，并且在一些情况下，还有可能导致服务器权限的丢失。因此，对于数据库系统来说，防御SQL注入相当重要，而网站管理人员对SQL注入的防御也极其重视。目前，相关技术中常见的SQL注入防御技术主要包括以下三种：

l)模式匹配

用正则表达式描述SQL注入攻击的特征，形成攻击特征规则。将用户提交的数据与攻击特征进行匹配，若两者相符则认为存在SQL注入攻击。

2)机器学习

由学习阶段与检测阶段两个部分组成。在学习阶段，采用统计分析、数据挖掘等方法，学习正常流量的数据特征，建立合法SQL语句的知识库。在检测阶段，对接收到的流量在学习到的正常流量模型的指导下进行分类，采用“非正常即异常”的方式检测攻击。

3)语法分析

提取HTTP请求中的各种参数，对其进行SQL语法分析，若存在合法的SQL语句片段，则认为存在SQL注入攻击。

然而，上述方法1)因为可以用于SQL注入攻击的形式非常多，很难用一组由攻击特征规则来描述所有可能的攻击形式，又不会命中正常的SQL语句，因而存在高误报、高漏报的问题。上述方法2)存在过学习和欠学习的问题，过学习通常意味着攻击流量混入了正常流量中被错误地学习，从而导致攻击的特征被带入到最终的正常流量模型，此时在检测时会带来漏报的问题；欠学习通常意味着学习流量并没有包含所有的正常流量模式，导致部分正常流量的模型没有被学习到，在检测过程中会导致误报的问题。上述方法3)不能处理HTTPS请求中的注入；不能处理对参数进行了编码的应用(需要针对具体应用修改实现)，因而该方法的应用场景有限；另外，该方法对于复杂的SQL注入攻击，还是有一定的误报与漏报。由此可见，相关技术中存在误报和漏报的问题。

发明内容

本发明的目的是提供一种防御SQL注入的方法、装置及系统，以克服相关技术中存在误报和漏报的问题。

本发明提供一种防御SQL注入的方法，用于Web客户端，包括：

在向数据库服务器发送结构化查询语言SQL语句之前，将语义信息嵌入到所述SQL语句中，生成包含所述SQL语句和所述语义信息的提交数据，其中，所述语义信息包括与所述SQL语句对应的SQL模板和用于标记所述SQL模板的位置的起始符号和结束符号；

向数据库服务器发送所述提交数据。

本发明还提供一种防御SQL注入的方法，用于中间件，所述方法包括：

接收Web客户端发送来的包含SQL语句和语义信息的提交数据，其中，所述语义信息包括与所述SQL语句对应的SQL模板和用于标记所述SQL模板的位置的起始符号和结束符号；

根据起始符号和结束符号提取所述提交数据中的SQL模板和SQL语句；

比对所述SQL模板的语法树与所述SQL语句的语法树中各对应位置的节点是否相同，该对应位置不包括预设变量符号所在的位置；

当比对结果为相同时，确定所述SQL语句中不存在SQL注入；

当比对结果为不相同时，确定所述SQL语句中存在SQL注入。

本发明还提供一种防御SQL注入的方法，用于数据库服务器，所述方法包括：

接收Web客户端发送来的包含SQL语句和语义信息的提交数据，其中，所述语义信息包括与所述SQL语句对应的SQL模板和用于标记所述SQL模板的位置的起始符号和结束符号；

根据起始符号和结束符号提取所述提交数据中的SQL模板和SQL语句；

比对所述SQL模板的语法树与所述SQL语句的语法树中各对应位置的节点是否相同，该对应位置不包括预设变量符号所在的位置；

当比对结果为相同时，确定所述SQL语句中不存在SQL注入；