[发明专利]检测SQL注入攻击的方法、装置、服务器和存储介质

权利要求书

1.一种检测SQL注入攻击的方法，所述方法在web服务器执行，其特征在于，包括：

接收用户的web请求；

把所述请求组装为SQL语句；

确定所述SQL语句中是否包含预定义配置文件中的表单字段，所述预定义配置文件包括一个或多个表单字段；

当该请求中不包含预定义配置文件中的表单字段，则判定该请求是安全的，方法结束，否则执行如下步骤：

确定所述SQL语句与预定义的语法结构串是否匹配；并且

当匹配时，判定该请求是安全的，否则判定该请求是SQL注入攻击。

2.根据权利要求1所述的方法，其特征在于，所述预定义配置文件通过下述步骤生成：

向所述web服务器发送配置页面请求，所述配置页面是所述web服务器为用户提供的web请求发起页面；

采集所述web服务器基于所述配置页面请求返回的配置页面中的表单字段；

记录所述表单字段以生成所述预定义配置文件。

3.根据权利要求1或2所述的方法，其特征在于，在确定所述SQL语句与预定义语法结构串是否匹配的步骤包括：

对所述SQL语句进行预处理；

获取所述SQL语句中的语素；

将所述SQL语句的where子句中的下述语素分别用对应的字符替换以生成用户请求语法结构串：任意非SQL关键字的字符串的条件表达式的左值和右值、独立的SQL查询语句、SQL的算术表达式、SQL中的组合运算符以及内置的命令或存储过程组成的独立语句；

确定用户请求语法结构串与所述预定义的语法结构串是否匹配。

4.根据权利要求3所述的方法，其特征在于，所述预定义的语法结构串包括：

A＝V and A＝V；

A＝Q and A＝V；

A＝E and A＝V；

A＝V or A＝V and A＝V；

A＝VUQ and A＝V；

A＝V；S；

A＝V；Q，

其中，A和V分别表示任意非SQL关键字的字符串的条件表达式的左值和右值，Q表示独立的SQL查询语句，E表示SQL的算术表达式，U表示SQL中的组合运算符，S表示SQL内置的命令或存储过程组成的独立语句。

5.根据权利要求3所述的方法，其特征在于，所述预处理包括：对所述SQL语句进行过滤注释、转换编码处理。

6.根据权利要求2所述的方法，其特征在于，所述表单字段包括：页面文件名、表单名、字段名以及字段属性。

7.一种检测SQL注入攻击的装置，该装置设置在web服务器中，其特征在于，包括：

记录模块，用于采集记录所述web服务器基于配置页面请求返回的配置页面中的表单字段并生成预定义配置文件；

配置文件管理模块，用于管理对所述预定义配置文件的访问；

过滤模块，用于接收用户的web请求并把所述请求组装为SQL语句，确定所述SQL语句中是否包含预定义配置文件中的表单字段，其中，当该请求中不包含预定义配置文件中的表单字段，则判定该请求是安全的，否则确定所述SQL语句与预定义的语法结构串是否匹配，并且当匹配时，判定该请求是安全的，否则判定该请求是SQL注入攻击。

8.根据权利要求7所述的装置，其特征在于，所述过滤模块包括：

接收子模块，用于接收用户的web请求并把所述请求组装为SQL语句；

预处理子模块，用于对所述SQL语句进行预处理；

词法分析子模块，用于获取所述SQL语句中的语素；

语法结构串生成子模块，用于将所述SQL语句的where子句中的下述语素分别用对应的字符替换以生成用户请求语法结构串：任意非SQL关键字的字符串的条件表达式的左值和右值、独立的SQL查询语句、SQL的算术表达式、SQL中的组合运算符以及内置的命令或存储过程组成的独立语句；

匹配子模块，用于确定用户请求语法结构串与所述预定义的语法结构串是否匹配。