[发明专利]一种二阶SQL注入攻击防御的方法在审
| 申请号: | 201910890209.2 | 申请日: | 2019-09-20 |
| 公开(公告)号: | CN110647749A | 公开(公告)日: | 2020-01-03 |
| 发明(设计)人: | 刘敏;曾华光 | 申请(专利权)人: | 湖南大学 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F16/2452 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 410082 湖南省*** | 国省代码: | 湖南;43 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种二阶SQL注入攻击防御的方法,分别从存储和触发两个方面分析SQL语句并进行防御。本发明一方面,极大的减少了攻击载荷存入数据库,另一方面,不再过分相信数据库的数据,在将数据库数据取出存入内存之前对数据进行验证,从而阻断SQL注入攻击的触发,有效防御SQL注入攻击行为,极大地提升了对Web服务器及其后台数据库的安全防护。 | ||
| 搜索关键词: | 触发 数据库 注入攻击行为 后台数据库 数据库数据 安全防护 攻击防御 有效防御 攻击 二阶 内存 存储 取出 验证 防御 分析 | ||
【主权项】:
1.一种二阶SQL注入攻击防御的方法,其特征在于,包括如下步骤:/n步骤一,扫描web源程序,筛选INSERT类型和UPDATE类型的SQL语句,对INSERT类型和UPDATE类型的SQL语句中的所有标准SQL关键字附加标注字符串进行SQL关键字变换处理;/n步骤二,拦截WEB服务器发送给数据库服务器的SQL语句,对SQL语句进行筛选,如果SQL语句是INSERT类型或UPDATE类型,则执行步骤三;如果SQL语句是SELECT类型,则执行步骤四;否则,直接发送SQL语句给数据库服务器处理,并将响应数据集直接发送给WEB服务器;/n步骤三,检测SQL语句中是否包含标准SQL关键字,若不包含,则对经过变换处理的SQL关键字进行还原,最后将还原后的SQL语句发送给数据库服务器;若包含标准SQL关键字,则判定SQL语句为注入攻击性语句,进行拦截并返回消息给WEB服务器;/n步骤四,为SELECT类型的SQL语句增加一个固定ID号;/n步骤五,获取数据库服务器中响应ID号对应的数据集,判断响应ID号对应的数据集是否包含特殊字符,若包含,则对特殊字符进行转义处理,将处理后新生成的数据集发送给WEB服务器;否则,直接将数据集发送给WEB服务器。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于湖南大学,未经湖南大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910890209.2/,转载请声明来源钻瓜专利网。
