SQL注入演示與預(yù)防大學(xué)畢業(yè)設(shè)計(jì)（論文）SQL注入的演示與預(yù)防學(xué) 生 姓 名 指 導(dǎo) 教 師 專(zhuān) 業(yè) 學(xué) 院 摘 要 本論文是針對(duì)企事業(yè)單位管理系統(tǒng)平時(shí)預(yù)防SQL注入攻擊而進(jìn)行研究的，基于ASP.NET、Access 2003開(kāi)發(fā)而成的攻防軟件，它提供了后臺(tái)注入SQL演示模塊、防止模塊、前臺(tái)網(wǎng)站顯示模塊、前臺(tái)注入模塊、前臺(tái)預(yù)防模塊。本演示做的主要是觀看靈活、易懂、是有效的防止SQL注入的手段。 關(guān)鍵詞：SQL注入，ASP.NETIIAbstract This paper is aimed at the business unit management system usually prevent SQL injection attacks and research, ASP.NET, and Access 2003 software development based on defense, it provides the background into the SQL demonstration module, preventing module, display module, front desk reception site into the module, the prevention of module. This presentation is flexible, easy to watch, is effective to prevent SQL injection method.it provides the background into the SQL demonstration module, preventing module, display module, front desk reception site into the module, the prevention of module. This presentation is flexible, easy to watch, is effective to prevent SQL injection method.it provides the background into the SQL demonstration module, preventing module, display module, front desk reception site into the module, the prevention of module. This presentation is flexible, easy to watch, is effective to prevent SQL injection method.it provides the background into the SQL demonstration module, preventing module, display module, front desk reception site into the module, the prevention of module. This presentation is flexible, easy to watch, is effective to prevent SQL injection method.Key Words：SQL injection, ASP.NETSQL注入演示與預(yù)防目錄摘 要IAbstractII1緒 論11.1課題設(shè)計(jì)的背景和特點(diǎn)11.2需求分析11.2.1 需求分析的必要性11.2.2 功能劃分11.2.3 演示描述21.2.4 理解需求21.2.6 環(huán)境的選擇22 數(shù)據(jù)庫(kù)概論32.1 數(shù)據(jù)庫(kù)技術(shù)的概述32.2 數(shù)據(jù)庫(kù)理論基礎(chǔ)32.2.1 數(shù)據(jù)庫(kù)管理系統(tǒng) SQL語(yǔ)言介紹43 系統(tǒng)開(kāi)發(fā)工具63.1 vs2010組件的體系結(jié)構(gòu)63.2 數(shù)據(jù)庫(kù)組件介紹63.3 MS Access 2003簡(jiǎn)介73.4 MS Access 2003與SQL Server 區(qū)別74 概要設(shè)計(jì)94.6 系統(tǒng)中所用數(shù)據(jù)控件94.7.1 數(shù)據(jù)庫(kù)描述94.7.3 數(shù)據(jù)表結(jié)構(gòu)96.2 軟件測(cè)試106.2.1 測(cè)試的實(shí)現(xiàn)10結(jié) 論14參考文獻(xiàn)14致 謝16SQL注入的攻防演示1 緒 論1.1 課題設(shè)計(jì)的背景和特點(diǎn) 最近在做的項(xiàng)目是網(wǎng)絡(luò)安全評(píng)估的內(nèi)容，其中包含滲透測(cè)試，而SQL注入往往是滲透測(cè)試中最為有效的手段之一，本文中將會(huì)就SQL注入的原理和方法進(jìn)行敘述，使普通軟件開(kāi)發(fā)者對(duì)SQL注入有所了解。如果有需要更詳細(xì)畢業(yè)設(shè)計(jì)資料的，各種畢業(yè)設(shè)計(jì)參考資料供大家學(xué)習(xí)，聯(lián)系我SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊的常用手段之一。隨著B(niǎo)/S模式應(yīng)用開(kāi)發(fā)的發(fā)展，使用這種模式編寫(xiě)應(yīng)用程序的程序員也越來(lái)越多。但是由于程序員的水 平及經(jīng)驗(yàn)也參差不齊，相當(dāng)大一部分程序員在編寫(xiě)代碼的時(shí)候，沒(méi)有對(duì)用戶(hù)輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶(hù)可以提交一段數(shù)據(jù)庫(kù)查詢(xún)代 碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。SQL注入是從正常的WWW端口訪(fǎng)問(wèn)，而且表面看起來(lái)跟一般的Web頁(yè)面訪(fǎng)問(wèn)沒(méi)什么區(qū)別，如果有需要本文的全部資料，請(qǐng)加我騰訊企鵝6526558所以目前市面的防火墻都不會(huì) 對(duì)SQL注入發(fā)出警報(bào)，如果管理員沒(méi)查看IIS日志的習(xí)慣，可能被入侵很長(zhǎng)時(shí)間都不會(huì)發(fā)覺(jué)。但是，SQL注入的手法相當(dāng)靈活，在注入的時(shí)候會(huì)碰到很多意外 的情況，需要構(gòu)造巧妙的SQL語(yǔ)句，從而成功獲取想要的數(shù)據(jù)。SQL注入測(cè)試就是通過(guò)利用目標(biāo)網(wǎng)站的某個(gè)頁(yè)面缺少對(duì)用戶(hù)傳遞參數(shù)控制或者控制的不夠好的情 況下出現(xiàn)的漏洞，從而達(dá)到獲取、修改、刪除數(shù)據(jù)，甚至控制數(shù)據(jù)庫(kù)服務(wù)器、Web服務(wù)器的目的的測(cè)試方法。1.2 需求分析1.2.1 需求分析的必要性需求分析是數(shù)據(jù)庫(kù)管理系統(tǒng)開(kāi)發(fā)的第一步，如果有需要本文的全部資料，請(qǐng)加我騰訊企鵝6526558也是最重要的一步SQL注入的攻防演示也不例外。只有通過(guò)軟件需求分析，才能把軟件功能和性能的總體概念描述為具體的軟件需求規(guī)格說(shuō)明，從而奠定軟件開(kāi)發(fā)的基礎(chǔ)。軟件需求的分析和說(shuō)明對(duì)于軟件開(kāi)發(fā)工作的成功與否是至關(guān)重要的，如果有需要更詳細(xì)畢業(yè)設(shè)計(jì)資料的、規(guī)范的過(guò)程。它有益于提高軟件開(kāi)發(fā)過(guò)程中的能見(jiàn)度，便于對(duì)軟件開(kāi)發(fā)過(guò)程中的控制與管理，便于采用工程方法開(kāi)發(fā)軟件，提高軟件的質(zhì)量，便于開(kāi)發(fā)人員、測(cè)試人員之間的交流、協(xié)作，并作為工作成果的原始依據(jù)，并且在向潛在用戶(hù)傳遞軟件功能、性能需求，使其能夠判斷該軟件是否與自己的需求相關(guān)。1.2.2 功能劃分該系統(tǒng)是采用目前比較流行的數(shù)據(jù)庫(kù)開(kāi)發(fā)工具開(kāi)發(fā)的基于windows操作臺(tái)下運(yùn)行的SQL攻防演示。這套軟件簡(jiǎn)單易懂，能有效的防止SQL注入。(1) 外部功能：一個(gè)普通網(wǎng)站的前臺(tái)展示功能。 (2) 內(nèi)部功能：一個(gè)完整的后臺(tái)添加功能。(3) 系統(tǒng)構(gòu)成描述：其中包括前臺(tái)注入和后臺(tái)注入2個(gè)模塊，也包括了各自的預(yù)防功能。1.2.3 演示描述 (1) 后臺(tái)注入演示登陸界面會(huì)出現(xiàn)用戶(hù)名和密碼三個(gè)文本框以及登陸和退出兩個(gè)按鈕，演示者可以先用常用的破解方法，在沒(méi)有輸入用戶(hù)名和密碼的情況下登陸到系統(tǒng)的后臺(tái)。 (2) 后臺(tái)預(yù)防演示讓攻擊者采用同樣的攻擊方式，但是卻不能成功進(jìn)入后臺(tái)，此方案有2種預(yù)防方式，都會(huì)展示。(3) 后臺(tái)管理模塊后臺(tái)管理模塊采用正常的主流的ASP.NET進(jìn)行開(kāi)發(fā)，完全模擬了網(wǎng)站后臺(tái)的開(kāi)發(fā)。 (4)前臺(tái)展示模塊模擬了一個(gè)小公司的網(wǎng)站，有新聞?wù)故竞彤a(chǎn)品添加等模塊。1.2.4 理解需求SQL注入攻擊的總體思路發(fā)現(xiàn)SQL注入位置； 判斷后臺(tái)數(shù)據(jù)庫(kù)類(lèi)型； 猜測(cè)賬號(hào)模擬進(jìn)攻1.2.6 環(huán)境的選擇本系統(tǒng)采用ASP.NET編程工具、Microsoft Access開(kāi)發(fā)而成。因?yàn)镸icrosoft公司的ASP.NET是對(duì)于開(kāi)發(fā)數(shù)據(jù)庫(kù)系統(tǒng)很方便，易學(xué)易用，它提供了大量的組件，來(lái)支持對(duì)數(shù)據(jù)庫(kù)的編程；它簡(jiǎn)化了界面設(shè)計(jì)過(guò)程，減少了編程人員的工作量，從而有效的提高了應(yīng)用程序的運(yùn)行效率和可靠性，縮短了開(kāi)發(fā)時(shí)間。故而，選擇了ASP.NET。選擇一個(gè)合適的數(shù)據(jù)庫(kù)系統(tǒng)，是非常必要的。當(dāng)前流行的小型數(shù)據(jù)系統(tǒng)一般有Access，Visual FoxPro等。因?yàn)楸鞠到y(tǒng)數(shù)據(jù)庫(kù)不是很大，所以選擇了Microsoft Access。 2 數(shù)據(jù)庫(kù)概論2.1 數(shù)據(jù)庫(kù)技術(shù)的概述數(shù)據(jù)庫(kù)技術(shù)在計(jì)算機(jī)軟件領(lǐng)域研究中一直是非常重要的主題，產(chǎn)生于60年代，30多年來(lái)數(shù)據(jù)庫(kù)技術(shù)得到了迅速發(fā)展，并已形成較為完整的理論體系和一大批實(shí)用系統(tǒng)，如SQL Server，Access等。近年來(lái)，隨著World Wide Web的猛增及Internet技術(shù)的迅速發(fā)展，使得數(shù)據(jù)庫(kù)技術(shù)成為最熱門(mén)技術(shù)之一。2.2 數(shù)據(jù)庫(kù)理論基礎(chǔ)一個(gè)成功的信息管理系統(tǒng)，是建立在許多條件之上的，而數(shù)據(jù)庫(kù)是其中一個(gè)非常重要的條件和關(guān)鍵技術(shù)4。 信息管理系統(tǒng)所涉及的數(shù)據(jù)庫(kù)設(shè)計(jì)分五個(gè)步驟：數(shù)據(jù)庫(kù)需求分析、概念設(shè)計(jì)、邏輯設(shè)計(jì)、物理設(shè)計(jì)與加載測(cè)試。(1) 數(shù)據(jù)庫(kù)需求分析的任務(wù)是：將業(yè)務(wù)管理單證流化為數(shù)據(jù)流，劃分主題之間的邊界，繪制出DFD圖，并完成相應(yīng)的數(shù)據(jù)字典。(2) 概念設(shè)計(jì)的任務(wù)是：從DFD出發(fā)，繪制出主題的實(shí)體關(guān)系圖，并列出各個(gè)實(shí)體與關(guān)系的綱要表。(3) 邏輯設(shè)計(jì)的任務(wù)是：從E-R圖與對(duì)應(yīng)的綱要表出發(fā)，確定各個(gè)實(shí)體及關(guān)系的表名屬性。(4) 物理設(shè)計(jì)的任務(wù)是：確定所有屬性的類(lèi)型、寬度與取值范圍，設(shè)計(jì)出基本表的主鍵，將所有的表名與字段名英文化，實(shí)現(xiàn)物理建庫(kù)，完成數(shù)據(jù)庫(kù)物理設(shè)計(jì)字典。(5) 加載測(cè)試工作貫穿于程序測(cè)試工作的全過(guò)程，整個(gè)錄入、修改、查詢(xún)、處理工作均可視為對(duì)數(shù)據(jù)庫(kù)的加載測(cè)試工作。要設(shè)計(jì)出一個(gè)好的信息管理系統(tǒng)數(shù)據(jù)庫(kù)，除滿(mǎn)足系統(tǒng)所要求的功能外，還必須遵守下列原則： (1) 基本表的個(gè)數(shù)越少越好。(2) 主鍵的個(gè)數(shù)越少越好。鍵是表間連接的工具，主鍵越少，表間的連接就越簡(jiǎn)單。(3) 字段的個(gè)數(shù)越少越好。(4) 所有基本表的設(shè)計(jì)均應(yīng)盡量符合第三范式。2.2.1 數(shù)據(jù)庫(kù)管理系統(tǒng)數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）是指數(shù)據(jù)庫(kù)系統(tǒng)中管理數(shù)據(jù)的軟件系統(tǒng)。DBMS是數(shù)據(jù)庫(kù)系統(tǒng)的核心組成部分。對(duì)數(shù)據(jù)庫(kù)的一切操作，包括定義、更新及各種控制都是通過(guò)DBMS進(jìn)行的。DBMS總是基于某種數(shù)據(jù)模型，可以把DBMS看成是某種數(shù)據(jù)模型在計(jì)算機(jī)系統(tǒng)上的具體實(shí)現(xiàn)。根據(jù)數(shù)據(jù)模型的不同，DBMS可以分成層次型、網(wǎng)狀型、關(guān)系型、面向?qū)ο笮偷?。MS Access 2000就是一種關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)5。.2.2.2 SQL語(yǔ)言介紹(1) SQL 基礎(chǔ)SQL (Structured Query Language，結(jié)構(gòu)查詢(xún)語(yǔ)言)是一個(gè)功能強(qiáng)大的數(shù)據(jù)庫(kù)語(yǔ)言。SQL通常使用于數(shù)據(jù)庫(kù)的通訊。ANSI（美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)）聲稱(chēng)，SQL是關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)的標(biāo)準(zhǔn)語(yǔ)言。SQL語(yǔ)句通常用于完成一些數(shù)據(jù)庫(kù)的操作任務(wù)，比如在數(shù)據(jù)庫(kù)中更新數(shù)據(jù)，或者從數(shù)據(jù)庫(kù)中檢索數(shù)據(jù)。使用SQL的常見(jiàn)關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)有：Oracle、 Sybase、 Microsoft SQL Server、 Access等等。標(biāo)準(zhǔn)的SQL命令，比如Select、 Insert、 Update、 Delete、 Create和 Drop常常被用于完成絕大多數(shù)數(shù)據(jù)庫(kù)的操作6。SQL語(yǔ)言有著非常突出的優(yōu)點(diǎn)，主要是：非過(guò)程化語(yǔ)言，統(tǒng)一的語(yǔ)言和所有關(guān)系數(shù)據(jù)庫(kù)的公共語(yǔ)言7。非過(guò)程化語(yǔ)言：SQL是一個(gè)非過(guò)程化的語(yǔ)言，因?yàn)樗淮翁幚硪粋€(gè)記錄，對(duì)數(shù)據(jù)提供自動(dòng)導(dǎo)航。SQL允許用戶(hù)在高層的數(shù)據(jù)結(jié)構(gòu)上工作，可操作記錄集，而不對(duì)單個(gè)記錄進(jìn)行操作，所有SQL 語(yǔ)句接受集合作為輸入，返回集合作為輸出。SQL的集合特性允許一條SQL語(yǔ)句的結(jié)果作為另一條SQL語(yǔ)句的輸入。SQL不要求用戶(hù)指定對(duì)數(shù)據(jù)的存放方法，這種特性使用戶(hù)更易集中精力于要得到的結(jié)果。所有SQL語(yǔ)句使用查詢(xún)優(yōu)化器，它是RDBMS(關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng))的一部分，由它決定對(duì)指定數(shù)據(jù)存取的最快速度的手段，查詢(xún)優(yōu)化器就知道存在什么索引，在哪兒使用索引合適，而用戶(hù)則從不需要知道表是否有索引、有什么類(lèi)型的索引。 統(tǒng)一的語(yǔ)言：SQL可用于所有用戶(hù)的DB活動(dòng)模型，包括系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、應(yīng)用程序員、決策支持系統(tǒng)人員及許多其它類(lèi)型的終端用戶(hù)。SQL為許多任務(wù)提供了命令，其中包括：查詢(xún)數(shù)據(jù)；在表中插入、修改和刪除記錄；建立、修改和刪除數(shù)據(jù)對(duì)象；控制對(duì)數(shù)據(jù)和數(shù)據(jù)對(duì)象的存取，保證數(shù)據(jù)庫(kù)一致性和完整性。所有關(guān)系數(shù)據(jù)庫(kù)的公共語(yǔ)言：以前的數(shù)據(jù)庫(kù)管理系統(tǒng)只為上述各類(lèi)操作提供單獨(dú)的語(yǔ)言，而SQL 將全部任務(wù)統(tǒng)一在一種語(yǔ)言中。由于所有主要的關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)都支持SQL語(yǔ)言，用戶(hù)可將使用SQL的技能從一個(gè)RDBMS轉(zhuǎn)到另一個(gè)，所有用SQL編寫(xiě)的程序都是可以移植的。(2) SQL 語(yǔ)句SQL功能強(qiáng)大，是一種完備的數(shù)據(jù)處理語(yǔ)言，不僅用于數(shù)據(jù)庫(kù)查詢(xún)，而且用于數(shù)據(jù)庫(kù)中的數(shù)據(jù)修改和更新，概括起來(lái)，它可以分成以下幾組8：DML（Data Manipulation Language，數(shù)據(jù)操作語(yǔ)言）：用于檢索或者修改數(shù)據(jù)； DML組可以細(xì)分為以下的幾個(gè)語(yǔ)句：SELECT用于檢索數(shù)據(jù)；INSERT用于增加數(shù)據(jù)