第15章--数据库系统安全.ppt

第15章 数据库系统安全李 剑 北京邮电大学信息安全中心 E-mail:电话：13001936882版权所有，盗版必纠概论随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰、国家安全。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为业界人士探索研究的重要课题之一，本章就数据库系统安全做讨论。版权所有，盗版必纠目录第15章 数据库系统安全15.1 数据库系统安全概述15.2 针对数据库系统的攻击15.2.1 弱口令攻击15.2.2 利用漏洞对数据库发起的攻击15.2.3 SQL Serever的单字节溢出攻击15.2.4 SQL注入攻击15.3 数据库攻击的防范措施15.3.1 数据库攻击防范概述15.3.2 SQL注入攻击的防范思考题版权所有，盗版必纠15.1 数据库系统安全概述1.数据库安全的意义数据库安全的意义数据库是当今信息存储的一个重要形式，数据库系统已经被广泛的应用与政府、军事、金融等众多领域。如果对与针对数据库的攻击不加以遏制，轻则干扰人们的日常生活，重则造成巨大的经济损失，甚至威胁到国家的安全。研究数据库安全的意义在于：(1)目前的对数据库的安全问题重视不足。现在对于安全威胁的防范多集中在对于主机和操作系统的防护，例如配置防火墙和防病毒软件，而对数据库安全则关注甚少。(2)数据库才是攻击者的主要目标。目前的数据库系统中存储着大量的重要数据，例如军事机密、商业秘密、个人交易账号和口令等等。大多数攻击者的攻击目标正是获取这些秘密数据。另外，从网络攻击者的角度来研究安全防御措施，通过分析与利用攻击者的实施方法，把握攻击者的心理，对网络攻击进行深入研究，提高安全检测、主动防御的能力都具有重要意义。版权所有，盗版必纠15.1 数据库系统安全概述2.数据库系统的安全威胁数据库系统的安全威胁根据违反数据库安全性所导致的后果，安全威胁可以分为以下几类：(1)非授权的信息泄露：未获授权的用户有意或无意得到信息。通过对授权访问的数据进行推导分析获取非授权的信息。(2)非授权的数据修改：包括所有通过数据处理和修改而违反信息完整性的行为。但是非授权修改不一定会涉及到非授权的信息泄露，因为对于入侵者而言即使不读出数据库中的数据亦可以进行破坏。(3)拒绝服务：包括会影响用户访问数据或使用资源的行为。版权所有，盗版必纠15.1 数据库系统安全概述3.数据库系统安全层次数据库系统安全层次数据库系统的安全可以从以下五个层次来说明：(1)物理层的安全性 数据库所在节点必须在物理上得到可靠的保护。(2)用户层的安全性 哪些用户可以使用数据库，使用数据库的哪些数据对象，具有什么样的权限等。(3)操作系统层的安全性 数据库所在的主机的操作系统的弱点将可能提供恶意攻击数据库的入口。(4)网络层的安全性 Oracle 9i数据库主要是面向网络提供服务，因此，网络软件的安全性和网络数据传输的安全性至关重要。(5)数据库系统层的安全性 通过对用户授予特定的访问数据库对象的权利的办法来确保数据库系统层的安全。版权所有，盗版必纠15.1 数据库系统安全概述4.数据库系统的安全需求数据库系统的安全需求根据上述的数据库安全威胁，提出相应的数据库安全需求：(1)防止非法数据访问这是数据库安全最关键的需求之一。数据库管理系统必须根据用户或应用的授权来检查访问请求，以保证仅允许授权的用户访问数据库。数据库的访问控制要比操作系统中的文件访问控制复杂得多。首先，控制的对象有更细的粒度，例如表、记录、属性等；其次，数据库中的数据是语义相关的，所以用户可以不直接访问数据项而间接获取数据内容。版权所有，盗版必纠15.1 数据库系统安全概述(2)防止推导推导是指用户通过授权访问的数据，经过推导而得出的机密信息，而按照安全策略该用户根本无权访问机密信息。特别是在统计数据库中，用户容易从统计后的信息中推出某些个体信息。(3)保证完整性保证数据库的完整性，即保证数据库不被非法修改，以及不会因为病毒、系统中的错误等导致存储数据遭破坏。这种保护通过访问控制、备份/恢复等安全机制共同实现。保证数据的操作完整性，即在并发事务中保证数据库中数据的逻辑一致性。数据库库管理系统中的并发管理器子系统负责实现操作的完整性。保证数据的语言完整性，即在修改数据时保证新值在一定范围内以确保逻辑上的完整性。对数据值的约束通过完整性约束来描述。可以针对数据库来定义完整性约束（定义数据库处于正确状态的条件），也可以针对变换来定义完整性约束（定义修改数据库时需要验证的条件）。版权所有，盗版必纠15.1 数据库系统安全概述(4)审计和日志为了保证数据库中的数据安全，一般要求数据库管理系统能够将所有对数据库进行的操作记录下来，以备事后的调查分析，追查入侵者或者发现系统漏洞。审计和日志是非常有效的威慑和事后追查、分析工具。(5)标识和认证标识和认证是数据库的第一道防线，也是授权和审计的前提。(6)多级保护多级保护表示一个安全需求的集合。现实世界中很多应用要求将数据划分不同的秘密等级。同一记录的不同字段可能划分为不同的等级，甚至同一字段的不同值都会是不同的等级。在多级保护体系中，对于不同的数据项赋予不用的保密级别，然后根据数据项的密级给数据项的操作赋予不同的级别。在多级保护体系中，进一步的要求是研究如何赋予多数据项组成的集合一个恰当的密级。数据的完整性和保密性是通过赋予用户权限来实现的，用户只能访问他所拥有的权限所对应级别的数据。版权所有，盗版必纠15.1 数据库系统安全概述(7)限界限界的意义在于防止程序之间出现非授权的信息传递。信息传递出现在“授权通道”、“存储通道”和“隐通道”中。授权通道通过授权的操作提供输出信息。存储通道是存储区，一个程序向其中存储数据，而其他程序可以读取。隐通道指的是使用系统中并非设计用来通信的资源在主体间通信的信道。版权所有，盗版必纠15.2 针对数据库系统的攻击数据库系统是在操作系统平台之上的最重要的系统软件，数据库系统的安全可以说是十分重要的。曾经有句话这样说：如果网络遍地是金钱，那么金钱就在数据库服务器中。随着无纸化业务环境的不断扩大，人们在数据库中存储着越来越多的敏感信息：银行账户、医疗记录、政府文件、军事机密等等，数据库系统就成为越来越有价值的攻击目标，因此确保数据库系统的安全也越来越重要。作为一种大型的系统软件，数据库系统中也存在着各种各样的安全漏洞，其中危害性较大的有缓冲区溢出、堆溢出和SQL注入等。本小节将讲述一些典型的针对数据库系统的攻击。版权所有，盗版必纠15.2.1 弱口令攻击弱口令是指口令强度过低，使非授权用户容易在短时间内通过猜解或者少量的列举即可得到口令。弱口令会使非授权用户获得访问数据库的权限。这会造成机密数据泄露、损坏等严重后果。出现弱口令的原因多是在数据库安装和建立用户信息的时候，数据库管理员设置了统一且简单的访问口令，授权用户也没有及时修改默认口令。特别是在某些数据库安装的过程中，安装程序会默认建立一个空白口令的特权用户。版权所有，盗版必纠15.2.1 弱口令攻击下面是一个因为存在默认用户名和口令的实例。在2005年的1月W32.Spybot.IVQ蠕虫便是依靠空白口令的root用户感染了数以千计的Windows MySQL服务器。在MySQL的某些默认配置中，mysql.user表内有4个默认条目：两个条目用于root，两个条目用于匿名账户。在主机build上，有一个用于账户root具有root特权的远程条目。如果在本地主机上，可以用空白口令以root特权进行身份验证，则可以全面控制数据库。如果在本地主机上，可以用任何用户进行身份验证，则可以guest权限访问数据库。版权所有，盗版必纠15.2.1 弱口令攻击如果在被称为build的远程主机上，可以用任何用户进行身份验证，则可以以guest权限访问数据库。在Windows主机上，root账户的存在使得任何本地用户都可以将其自己提升到本地系统级访问权限，因为MySQL默认以SYSTEM运行。而且，如果攻击者简单地将他的主机命名为build，MySQL服务一旦启动，他就具有了对主机的远程系统级的访问权限。针对这一问题最好的保护是采取以下措施：(1)安装MySQL是禁止网络访问（拔掉网线或者应用全部防火墙规则）。(2)在安装之后，应立刻删除mysql.user表内除了本地主机（localhost）root账户之外的所有账户。(3)为本地主机的root账户设置复杂的口令。版权所有，盗版必纠15.2.2 利用漏洞对数据库发起的攻击数据库厂商会发现自己产品中的某些安全问题，然后为自己的产品提供某些安全补丁，产品的版本随之不断升级。作为数据库的用户，如果不及时升级自己的数据库，就会面临安全威胁。下面以零长度字符串绕过MySQL身份验证漏洞攻击为例子，讲解利用漏洞对数据库的攻击。版权所有，盗版必纠15.2.2 利用漏洞对数据库发起的攻击在MySQL5.0以前的版本中，MySQL通过下面语句：check_scramble_323(passwd,thd-scramble,(ulong*)acl_user_tmp-salt)=0来判断用户输入的密码是否正确，然而在check_scramble_323()函数内可以看到：bool check_scramble_323(const char*scrambled,const char*message,ulong*hash_pass)while(*scrambled)if(*scrambled+!=(char)(*to+extra)return 1;/密码错误return 0;版权所有，盗版必纠15.2.2 利用漏洞对数据库发起的攻击这里，用户可以指定一个其所需长度的字符串。在这个简单的身份验证中，如果指定长度为0的字符串。在最后的循环中，循环比较scrambled字符串和MySQL所得到的字符串的每个字符，直到scrambled字符串内没有字符为止。因为scrambled字符串长度为0，根本不会进行循环比较，所以验证函数直接返回0，使得用户以0长度字符串通过身份验证。这是一个非常简单的利用数据库漏洞的例子。版权所有，盗版必纠15.2.3 SQL Serever的单字节溢出攻击SQL Server 2000会监听UDP：1433端口，而且会对值为0 x02的单字节报文进行响应，返回关于SQL Server的信息。但是当单字节报文的值不是0 x02而是其他值时，SQL Server将会异常。会引起异常的值包括：0 x04，导致栈溢出发生；0 x08字符，会导致对溢出；0 x0A，会引发拒绝服务攻击。另外，在一些数据库管理系统，如WinMySQLAdmin在my.ini文件中以明文形式保存了MySQL的口令信息。使得非授权的本地用户也可以访问MySQL数据库。版权所有，盗版必纠15.2.4 SQL注入攻击1.SQL注入攻击原理注入攻击原理浏览器/服务器(B/S，Browser/Server，）结构是互联网兴起后的一种网络结构模式，这种模式统一了客户端，将系统功能实现的核心部分集中到服务器上，简化了系统的开发、维护和使用。B/S结构由服务端、浏览器和通信协议三大部分组成。如下图所示：版权所有，盗版必纠15.2.4 SQL注入攻击版权所有，盗版必纠15.2.4 SQL注入攻击采用这种方式构建的Web服务，经常受到SQL注入的攻击。近几年，针对Web服务数据库的SQL注入攻击非常多。SQL注入可导致数据库系统中的普通用户窃取机密数据、进行权限提升等，而这种攻击方式又不需要太多计算机方面的知识，一般只要能熟练使用SQL语言即可，因此对数据库的安全构成了很大的威胁。另外，目前还有NBSI等SQL注入工具，更使得对数据库的安全受到巨大威胁。如图15.2所示为合作NBSI SQL注入攻击工具对某网站成功进行了攻击，从图中可以看出数据库中的内容。版权所有，盗版必纠15.2.4 SQL注入攻击版权所有，盗版必纠15.2.4 SQL注入攻击许多Web应用程序在编写时没有对用户输入数据的合法性进行检验，导致应用程序通过用户输入的数据构造SQL查询语句时存在着安全隐患。SQL注入攻击的基本思想就是在用户输入中注入一些额外的特殊字符或者SQL语句，使系统构造出来的SQL语句在执行时改变了查询条件，或者附带执行了攻击者注入的SQL语句。攻击者根据程序返回的结果，获得某些想知道的数据，这就是所谓的SQL注入。SQL注入攻击源于英文“SQL Injection Attack”。目前还没有一种标准的定义，常见的是对这种攻击形式、特点的描述。微软技术中心从两个方面进行了描述：版权所有，盗版必纠15.2.4 SQL注入攻击(1)脚本注入式的攻击。(2)恶意用户输入用来影响被执行的SQL脚本。由于SQL注入攻击利用了SQL的语法，其针对的是基于数据的应用程序当中的漏洞，这使得SQL注入攻击具有广泛性。理论上说，对于所有基于SQL语言标准的数据库软件都是有效的。一个简单SQL注入攻击的示例如下：通过网页提交数据 id、password以验证某个用户的登陆信息；然后通过服务器端的脚本构造如下的SQL查询语句：版权所有，盗版必纠15.2.4 SQL注入攻击SELECT*FROM user WHERE ID=+id+AND PASSWORD=+password+如果用户提交的id=abc，password=123系统会验证是否有用户名为abc，密码为123的用户存在，但是攻击者会提交恶意的数据：id=abc，password=OR 1=1使得脚本语言构造的SQL查询语句变成：SELECT*FROM user WHERE ID=abc AND PASSWORD=OR 1=1因为1=1恒为真，所以攻击者就可以轻而易举的绕过密码验证。目前易受到SQL注入攻击的两大系统平台组合：MySQL+PHP和SQL Server+ASP。其中MySQL和SQL Server是两种SQL数据库系统，ASP和PHP是两种服务端脚本语言，SQL注入攻击正是由于服务器脚本程序存在漏洞造成的。版权所有，盗版必纠15.2.4 SQL注入攻击2.SQL注入攻击的一般步骤注入攻击的一般步骤SQL注入攻击的手法相当灵活，在碰到意外情况时需要构造巧妙的SQL语句，从而成功获取需要的数据。总体来说，SQL注入攻击有以下几个步骤：(1)发现SQL注入位置。找到存在SQL注入漏洞的网页地址，是开始SQL注入的一步。不同的URL地址带有不同类型的参数，需要不同的方法来判断。(2)判断数据库的类型。不同厂商的数据库管理系统的SQL语言虽然都基于标准的SQL语言，但是不同的产品对SQL的支持不尽相同，对SQL也有各自的扩展。而且不同的数据有不同的攻击方法，必须要区别对待。版权所有，盗版必纠15.2.4 SQL注入攻击(3)通过SQL注入获取需要的数据。获得数据库中的机密数据是SQL注入攻击的主要目的。例如管理员的账户信息，登陆口令等等。(4)执行其他的操作。在取得数据库的操作权限之后，攻击者可能会采取进一步的攻击，例如上传木马以获取更高一级的系统控制权限，达到完全控制目标主机的目的。这部分内容本文不做详细讨论。版权所有，盗版必纠15.2.4 SQL注入攻击3.SQL注入漏洞的判断注入漏洞的判断一般来说，SQL注入一般存在于形如：http:/localhost/show.asp?id=XX等带有参数的动态网页中，这些参数可能有一个或者多个，参数类型可能是数字型或者字符型。如果动态网页带有参数并且访问数据库，那么就有可能存在SQL注入。以下以http:/localhost/show.asp?id=XX为例进行分析，XX可能是整型，也有可能是字符串。(1)整型参数的判断当输入的参数XX为整型时，通常show.asp中SQL语句原貌大致如下：select*from 表名 where 字段=XX，所以可以用以下步骤测试SQL注入是否存在。版权所有，盗版必纠15.2.4 SQL注入攻击 http:/localhost/show.asp?id=XX(附加一个单引号)，此时show.asp中的SQL语句变成了select*from 表名 where 字段=XX，show.asp运行异常；http:/localhost/show.asp?id=XX and 1=1,show.asp运行正常，而且与http:/localhost/show.asp?id=XX运行结果相同；http:/localhost/show.asp?id=XX and 1=2,show.asp运行异常；如果以上三步全面满足，该脚本中一定存在SQL注入漏洞。版权所有，盗版必纠15.2.4 SQL注入攻击(2)字符串型参数的判断当输入的参数XX为字符串时，通常show.asp中SQL语句原貌大致如下：select*from 表名 where 字段=XX，所以可以用以下步骤测试SQL注入是否存在。http:/localhost/show.asp?id=XX(附加一个单引号)，此时show.asp中的SQL语句变成了select*from 表名 where 字段=XX，show.asp运行异常；http:/localhost/show.asp?id=XX or 1=1,show.asp运行正常，而且与http:/localhost/show.asp?id=XX运行结果相同；http:/localhost/show.asp?id=XX and 1=2,show.asp运行异常；如果以上三步全面满足，show.asp中一定存在SQL注入漏洞。版权所有，盗版必纠15.2.4 SQL注入攻击(3)特殊情况的处理有时程序员会在程序过滤掉单引号等字符，以防止SQL注入。此时可以用以下几种方法尝试注入。大小定混合法：由于ASP并不区分大小写，而程序员在过滤时通常要么全部过滤大写字符串，要么全部过滤小写字符串，而大小写混合往往会被忽视。如用SelecT代替select，SELECT等。UNICODE法：在IIS中，以UNICODE字符集实现国际化，我们完全可以IE中输入的字符串化成UNICODE字符串进行输入。如+=%2B，空格=%20 等。ASCII码法：可以把输入的部分或全部字符全部用ASCII码代替，如U=chr(85),a=chr(97)等。图15.3描述了正常情况下访问一个网页的界面，图15.4是在URL后追加and 1=1时访问这个网页的界面、图15.5是1=2时访问这个网页的界面。由此可以确定该页面存在SQL注入漏洞。版权所有，盗版必纠15.2.4 SQL注入攻击版权所有，盗版必纠15.2.4 SQL注入攻击版权所有，盗版必纠15.2.4 SQL注入攻击版权所有，盗版必纠15.3 数据库攻击的防范措施从上一节可以看出针对数据库攻击有各种各样的攻击，本章来讲述针对于上述攻击的防范措施。由于目前互联网上SQL攻击比较多，并且危害比较大，所以本节重点讲述如何防范SQL攻击。版权所有，盗版必纠15.3.1 数据库攻击防范概述数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、应用环境、从业人员素质等因素息息相关，因此，从广义上讲，数据库系统的安全框架如前所述可以划分为5个层次，这里主要讲其中的三个层次：(1)网络层安全从广义上讲，数据库的安全首先依赖于网络系统。随着Internet的发展和普及，越来越多的公司将其核心业务向互联网转移，各种基于网络的数据库应用系统如雨后春笋般涌现出来，面向网络用户提供各种信息服务。可以说网络系统是数据库应用的外部环境和基础，数据库系统要发挥其强大作用离不开网络系统的支持，数据库系统的用户（如异地用户、分布式用户）也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的。从技术角度讲，网络系统层次的安全防范技术有很多种，大致可以分为防火墙、入侵检测、VPN技术等。版权所有，盗版必纠15.3.1 数据库攻击防范概述(2)操作系统层安全操作系统是大型数据库系统的运行平台，为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在Windows NT和Unix，安全级别通常为C1、C2级。主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面。操作系统安全策略用于配置本地计算机的安全设置，包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派、加密数据的恢复代理以及其它安全选项。具体可以体现在用户账户、口令、访问权限、审计等方面。版权所有，盗版必纠15.3.1 数据库攻击防范概述(3)数据库管理系统层安全数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大，则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统，其安全性功能很弱，这就导致数据库系统的安全性存在一定的威胁。由于数据库系统在操作系统下都是以文件形式进行管理的，因此入侵者可以直接利用操作系统的漏洞窃取数据库文件，或者直接利用OS工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户难以察觉，分析和堵塞这种漏洞被认为是B2级的安全技术措施。版权所有，盗版必纠15.3.1 数据库攻击防范概述数据库管理系统层次安全技术主要是用来解决这一问题，即当前面两个层次已经被突破的情况下仍能保障数据库数据的安全，这就要求数据库管理系统必须有一套强有力的安全机制。解决这一问题的有效方法之一是数据库管理系统对数据库文件进行加密处理，使得即使数据不幸泄露或者丢失，也难以被人破译和阅读。以上这三个层次构筑成数据库系统的安全体系，与数据安全的关系是逐步紧密的，防范的重要性也逐层加强，从外到内、由表及里保证数据的安全。版权所有，盗版必纠15.3.2 SQL注入攻击的防范随着一些自动化注入攻击的出现，目前针对Web应用的SQL注入攻击越来越普遍，技术也在不断翻新。但是SQL注入的基本原理还是通过构造畸形的SQL语句，绕过认证系统获得敏感信息。然而为了使用Web服务器和数据库服务器的功能，实现信息交互的目的就不可避免的暴露一些可以被攻击者非法利用的安全缺陷。如何采取有效的措施阻止内部信息泄露，将系统的安全威胁降至最低是防护的关键。这需要从配置Web服务器、配置数据库和编写安全代码等多方面着手，加强系统安全性。版权所有，盗版必纠15.3.2 SQL注入攻击的防范1.Web服务器的安全配置服务器的安全配置由于Web服务器庞大而复杂的结构，使得Web服务器在安全方面难免存在缺陷漏洞。正确配置Web服务器可以与有效降低SQL注入的风险。(1)修改服务器初始配置服务器在安装时会添加默认的用户和默认口令，开启默认的连接端口等，这些都会给攻击者留下入侵的可能。在安装完成后应该及时删除默认的账号或者修改默认登录名的权限。关闭所有服务端口后，再开启需要使用的端口。(2)及时安装服务器安全补丁及时对服务器模块进行必要的更新，特别是官方提供的有助于提高系统安全性的补丁包。使服务器保持最新的补丁包，运行稳定的版本。版权所有，盗版必纠15.3.2 SQL注入攻击的防范(3)关闭服务器的错误提示信息错误提示信息对于调试中的应用程序有着很重要的作用，但是当Web应用一旦发布，这些错误提示信息就应该被关闭。详细的错误信息也会让攻击者获得很多重要信息。自行设置一种错误提示信息，即所有错误都只返回同一条错误消息，让攻击无法获得有价值的信息。(4)配置目录权限对于Web应用程序所在的目录可以设置其为只读的。通过客户端上传的文件单独存放，并设置为没有可执行权限，并且不在允许Web访问的目录下存放机密的系统配置文件。这样是为了防止注入攻击者上传恶意文件，例如Webshell等等。版权所有，盗版必纠15.3.2 SQL注入攻击的防范(5)删除危险的服务器组件有些服务器组件会为系统管理员提供方便的配置途径，比如通过Web页面配置服务器和数据库、运行系统命令等等。但是这些组件可能被恶意用户加以利用，从而对服务器造成更严重的威胁。为安全起见，应当及时删除这样的服务器组件。(6)及时分析系统日志将服务器程序的日志存放在安全目录中，定期对日志文件进行分析，一边第一时间发现入侵。但是日志分析只是一种被动的防御手段，只能分析和鉴别入侵行为的存在，但是对于正在发生的入侵无法做出有效的防范。版权所有，盗版必纠15.3.2 SQL注入攻击的防范2.数据库的安全配置数据库的安全配置(1)修改数据库初始配置数据库系统在安装时会添加默认的用户和默认口令等，例如MySQL安装过程中默认密码为空的root账号。这些都会给攻击者留下入侵的可能。在安装完成后应该及时删除默认的账号或者修改默认登录名的权限。(2)及时升级数据库及时对数据库模块进行必要的更新，特别是官方提供的有助于提高数据库系统安全性的补丁包，可以解决已知的数据库漏洞问题。(3)最小权利法则Web应用程序连接数据库的账户只拥有必要的权限，这有助于保护整个系统尽可能少的受到入侵。用不同的用户账户执行查询、插入、删除等操作，可以防止用于执行SELECT的情况下，被恶意插入执行INSERT、UPDATE或者DELETE语句。版权所有，盗版必纠15.3.2 SQL注入攻击的防范3.脚本解析器安全设置脚本解析器安全设置对于PHP编程语言，在php.ini文件中可以配置一些涉及安全性的设置，通过这些设置可以增加SQL的注入难度，降低SQL注入风险：(1)设置“magic_quotes_gpc”为“on”该选项是可以将一些输入的特殊字符自动转义。(2)设置“register_globals”为“off”“register_globals”选项来设置启用/禁止PHP为用户输入创建全局变量，设置为off表示：如果用户提交表单变量a，PHP不会创建&a，而只会创建_GETa或者_POST VARSa。版权所有，盗版必纠15.3.2 SQL注入攻击的防范(3)设置“safe_mode”为“on”打开这个选项会增加几条限制：限制指定命令可以执行、限制指定函数可以使用、基于脚本所有权和目标文件所有权的文件访问限制、禁止文件上传功能。(4)设置“open_basedir”为“off”它可以禁止指定文件目录之外的文件操作，有效解决include()函数攻击。(5)设置“display_errors”为“off”此时是禁止把错误信息显示在网页上，因为这些语句中可能会返回应用程序中的有关变量名、数据库用户名、表结构信息等。恶意用户有可能利用其中获取的有关信息进行注入攻击。也可以设置此选项为“on”，但是要修改脚本返回的错误信息，使其发生错误时只显示一种信息。版权所有，盗版必纠15.3.2 SQL注入攻击的防范4.过滤特殊字符过滤特殊字符SQL注入攻击的实质就是构造畸形的SQL语句，同过Web应用程序送达数据库系统执行。如果Web应用程序没有对用户输入的参数进行过滤，就使用这些参数构造SQL语句送达数据库系统执行，那么极有可能发生SQL注入攻击。(1)整形参数过滤对于整形参数，可以通过强制类型转换，例如：$user_id=(int)_$GETuid;将用户输入的参数中非整数部分去除。(2)简单的字符和数字组合参数验证这是最常见的一种输入允许条件，验证这样的数据，正则表达式为：/w+$/。这将允许用户输入字母、数字和下划线符号。版权所有，盗版必纠15.3.2 SQL注入攻击的防范(3)包含特殊字符的参数的处理目前网络公认的SQL注入非法字符主要集中在：“”、“;”、“-”、“+”、“”、“%”、“=”等和一些特殊语句上面，如DELETE。在这些不应该出现特殊字符的地方出现了非法字符就可以直接通过过滤阻止，目前通用的此类防范正则表达式为：(|and|insert|select|delete|-|+|&|update|count|*|%|chr|mid|master|exec|char|declare)当然还要包括这些符号和字符的十进制和十六进制码。这里还有些内容没有添加到表达式中，但是它可以随系统和管理员的需要补充最新的特殊符号，以防止更新的注入攻击形式。(4)限制用户参数长度所有字符串都必须限定为合适的长度。例如，用户名无需使用256个字符。这样可以减少恶意字符串的长度，能够有效地阻止SQL注入攻击的成功实施。版权所有，盗版必纠15.3.2 SQL注入攻击的防范5.应用存储过程防范应用存储过程防范SQL注入攻击注入攻击存储过程是一组编译在单个执行计划中的Transact-SQL语句，存储过程是SQL语句和可选控制流语句的预编译集合，以一个名称存储并作为一个单元处理。存储过程存储在数据库内，可由应用程序通过一个调用执行，而且允许用户声明变量、有条件执行以及其它强大的编程功能。存储过程可包含程序流、逻辑以及对数据库的查询。它们可以接受参数、输出参数、返回单个或多个结果集以及返回值。存储过程帮助在不同的应用程序之间实现一致的逻辑。在一个存储过程内，可以设计、编码和测试执行某个常用任务所需的SQL语句和逻辑。而后，每个需要执行该任务的应用程序只须执行此存储过程即可。将业务逻辑编入单个存储过程还提供了单个控制点，以确保业务规则正确执行。如果某操作需要大量Transact-SQL代码或需重复执行，存储过程将比Transact-SQL批代码的执行要快。将在创建存储过程时对其进行分析和优化，并可在首次执行该过程后使用该过程的内存中版本。每次运行Transact-SQL语句时，都要从客户端重复发送，并且在SQL Server每次执行这些语句时，都要对其进行编译和优化。一个需要数百行Transact-SQL代码的操作由一条执行过程代码的单独语句就可实现，而不需要在网络中发送数百行代码。版权所有，盗版必纠15.3.2 SQL注入攻击的防范以身份验证页面为例，在SQL Server2000中编写存储过程：CREATE PROCEDURE da_ login username varchar(16),password varchar(50)ASSET NOCOUNT ONSELECT*FROM user WHERE username=usernameAND password=passwordGO该存储过程包含两个输入参数username和password，数据类型为varchar，设用户提交的username为admin-，password为321。如果不用存储过程，验证SQL语句为：SELECT*FROM user WHERE username=admin-AND password=321，密码参数被解释为注释语句，这样只对用户名进行验证，而不对密码进行验证。版权所有，盗版必纠15.3.2 SQL注入攻击的防范存储过程参数用于在存储过程和调用存储过程的应用程序或工具之间交换数据：输入参数允许调用方将数据值传递到存储过程，输出参数允许存储过程将数据值或游标变量传递回调用方，他们被预先作为独立的数据体与SQL语句交互。上例使用da_ login存储过程验证：admin-，作为一个标准varchar的字符串传递给参数username，即username的值为admin-；321作为一个标准varchar的字符串传递给参数password，即password的值为321。两个参数之间不会进行字符串重组，即存储过程里的SQL查询语句不会组合为：SELECT*FROM user WHERE username=admin-AND password=321因而da_ login存储过程验证是对用户名和密码的完整性验证，是有效地身份验证，在高效能访问数据库的同时，解决了SQL Injection攻击。版权所有，盗版必纠思考题1.针对数据库的攻击有哪些？2.如何保障数据库系统的安全？3SQL攻击的原理是什么？4SQL攻击的过程是什么？5如何判断一个网站是否可以进行SQL攻击？6如何防范SQL攻击？版权所有，盗版必纠返回Thanks For Attendance!Thanks For Attendance!版权所有，盗版必纠