数据库系统安全课件

第15章数据库系统安全第15章数据库系统安全1概论随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰、国家安全。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为业界人士探索研究的重要课题之一，本章就数据库系统安全做讨论。概论随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各2目录第15章数据库系统安全15.1数据库系统安全概述15.2针对数据库系统的攻击15.2.1弱口令攻击15.2.2利用漏洞对数据库发起的攻击15.2.3SQLSerever的单字节溢出攻击15.2.4SQL注入攻击15.3数据库攻击的防范措施15.3.1数据库攻击防范概述15.3.2SQL注入攻击的防范思考题目录第15章数据库系统安全3数据库安全是指数据库的任何部分都没有受到侵害，或者没有受到未经授权的存取和修改。1．数据库安全的内涵数据库安全主要包括数据库系统安全和数据库数据安全两层含义。返回本章首页15.1数据库系统安全概述数据库安全是指数据库的任何部分都没有受到侵害，或者没4（1）数据库系统安全数据库系统安全是指在系统级控制数据库的存取和使用机制，应尽可能地堵住各种潜在的漏洞，防止非法用户利用这些漏洞危害数据库系统的安全；同时保证数据库系统不因软硬件故障和灾害的影响而不能正常运行。数据库系统安全包括：硬件运行安全；物理控制安全；操作系统安全；用户连接数据库需授权；灾害、故障恢复等。返回本章首页（1）数据库系统安全返回本章首页5（2）数据库数据安全数据库数据安全是指在对象级控制数据库的存取和使用的机制，哪些用户可以存取指定的模式对象及在对象上允许有哪些操作。数据库数据安全包括：有效的用户名/口令鉴别；用户访问权限控制；数据存取权限、方式控制；审计跟踪；数据加密等。返回本章首页（2）数据库数据安全返回本章首页62.数据库安全管理原则对数据库系统进行安全管理规划时一般要遵循以下原则：（1）管理细分和委派原则（2）最小权限原则（3）帐号安全原则（4）有效审计原则返回本章首页2.数据库安全管理原则返回本章首页7数据库管理系统简介DBMS是专门负责数据库管理和维护的计算机软件系统，是数据库系统的核心，不仅负责数据库的维护工作，还负责数据库的安全性和完整性。DBMS是与文件系统类似的软件系统，通过DBMS，应用程序和用户可以取得所需的数据。与文件系统不同的是DBMS还定义了所管理的数据之间的结构和约束关系，还提供了一些基本的数据管理和安全功能。返回本章首页数据库管理系统简介DBMS是专门负责数据库管理和维8数据库系统的缺陷与威胁1.数据库系统的缺陷数据库系统的安全缺陷主要体现在以下几个方面：数据库系统安全通常与操作系统安全密切相关数据库系统安全通常被忽视数据库帐号和密码容易泄露返回本章首页数据库系统的缺陷与威胁1.数据库系统的缺陷返回本章首页92.数据库系统面临的威胁数据库系统面临的安全威胁主要来自以下几个方面：物理和环境的因素事务内部故障存储介质故障人为破坏病毒与黑客未经授权的数据读写与修改对数据的异常访问造成数据库系统故障数据库权限设置错误，造成数据的越权访问返回本章首页2.数据库系统面临的威胁返回本章首页1015.2针对数据库系统的攻击数据库系统是在操作系统平台之上的最重要的系统软件，数据库系统的安全可以说是十分重要的。曾经有句话这样说：如果网络遍地是金钱，那么金钱就在数据库服务器中。随着无纸化业务环境的不断扩大，人们在数据库中存储着越来越多的敏感信息：银行账户、医疗记录、政府文件、军事机密等等，数据库系统就成为越来越有价值的攻击目标，因此确保数据库系统的安全也越来越重要。作为一种大型的系统软件，数据库系统中也存在着各种各样的安全漏洞，其中危害性较大的有缓冲区溢出、堆溢出和SQL注入等。本小节将讲述一些典型的针对数据库系统的攻击。15.2针对数据库系统的攻击数据库系统是在操作系统平台之上1115.2.1弱口令攻击弱口令是指口令强度过低，使非授权用户容易在短时间内通过猜解或者少量的列举即可得到口令。弱口令会使非授权用户获得访问数据库的权限。这会造成机密数据泄露、损坏等严重后果。出现弱口令的原因多是在数据库安装和建立用户信息的时候，数据库管理员设置了统一且简单的访问口令，授权用户也没有及时修改默认口令。特别是在某些数据库安装的过程中，安装程序会默认建立一个空白口令的特权用户。15.2.1弱口令攻击弱口令是指口令强度过低，使非授权用户1215.2.1弱口令攻击下面是一个因为存在默认用户名和口令的实例。在2005年的1月W32.Spybot.IVQ蠕虫便是依靠空白口令的root用户感染了数以千计的WindowsMySQL服务器。在MySQL的某些默认配置中，mysql.user表内有4个默认条目：两个条目用于root，两个条目用于匿名账户。在主机build上，有一个用于账户root具有root特权的远程条目。如果在本地主机上，可以用空白口令以root特权进行身份验证，则可以全面控制数据库。如果在本地主机上，可以用任何用户进行身份验证，则可以guest权限访问数据库。15.2.1弱口令攻击下面是一个因为存在默认用户名和口令的1315.2.1弱口令攻击如果在被称为build的远程主机上，可以用任何用户进行身份验证，则可以以guest权限访问数据库。在Windows主机上，root账户的存在使得任何本地用户都可以将其自己提升到本地系统级访问权限，因为MySQL默认以SYSTEM运行。而且，如果攻击者简单地将他的主机命名为build，MySQL服务一旦启动，他就具有了对主机的远程系统级的访问权限。针对这一问题最好的保护是采取以下措施：(1)安装MySQL是禁止网络访问（拔掉网线或者应用全部防火墙规则）。(2)在安装之后，应立刻删除mysql.user表内除了本地主机（localhost）root账户之外的所有账户。(3)为本地主机的root账户设置复杂的口令。15.2.1弱口令攻击如果在被称为build的远程主机上，1415.2.2利用漏洞对数据库发起的攻击数据库厂商会发现自己产品中的某些安全问题，然后为自己的产品提供某些安全补丁，产品的版本随之不断升级。作为数据库的用户，如果不及时升级自己的数据库，就会面临安全威胁。下面以零长度字符串绕过MySQL身份验证漏洞攻击为例子，讲解利用漏洞对数据库的攻击。15.2.2利用漏洞对数据库发起的攻击数据库厂商会发现自己1515.2.2利用漏洞对数据库发起的攻击在MySQL5.0以前的版本中，MySQL通过下面语句：check_scramble_323(passwd,thd->scramble,(ulong*)acl_user_tmp->salt)==0来判断用户输入的密码是否正确，然而在check_scramble_323()函数内可以看到：boolcheck_scramble_323(constchar*scrambled,constchar*message,ulong*hash_pass){ …… while(*scrambled){ if(*scrambled++!=(char)(*to++^extra)) return1; //密码错误}return0;}15.2.2利用漏洞对数据库发起的攻击在MySQL5.0以1615.2.2利用漏洞对数据库发起的攻击这里，用户可以指定一个其所需长度的字符串。在这个简单的身份验证中，如果指定长度为0的字符串。在最后的循环中，循环比较scrambled字符串和MySQL所得到的字符串的每个字符，直到scrambled字符串内没有字符为止。因为scrambled字符串长度为0，根本不会进行循环比较，所以验证函数直接返回0，使得用户以0长度字符串通过身份验证。这是一个非常简单的利用数据库漏洞的例子。15.2.2利用漏洞对数据库发起的攻击这里，用户可以指定一1715.2.3SQLSerever的单字节溢出攻击SQLServer2000会监听UDP：1433端口，而且会对值为0x02的单字节报文进行响应，返回关于SQLServer的信息。但是当单字节报文的值不是0x02而是其他值时，SQLServer将会异常。会引起异常的值包括：0x04，导致栈溢出发生；0x08字符，会导致对溢出；0x0A，会引发拒绝服务攻击。另外，在一些数据库管理系统，如WinMySQLAdmin在my.ini文件中以明文形式保存了MySQL的口令信息。使得非授权的本地用户也可以访问MySQL数据库。15.2.3SQLSerever的单字节溢出攻击SQL1815.2.4SQL注入攻击1.SQL注入攻击原理浏览器/服务器(B/S，Browser/Server，）结构是互联网兴起后的一种网络结构模式，这种模式统一了客户端，将系统功能实现的核心部分集中到服务器上，简化了系统的开发、维护和使用。B/S结构由服务端、浏览器和通信协议三大部分组成。如下图所示：15.2.4SQL注入攻击1.SQL注入攻击原理1915.2.4SQL注入攻击15.2.4SQL注入攻击2015.2.4SQL注入攻击采用这种方式构建的Web服务，经常受到SQL注入的攻击。近几年，针对Web服务数据库的SQL注入攻击非常多。SQL注入可导致数据库系统中的普通用户窃取机密数据、进行权限提升等，而这种攻击方式又不需要太多计算机方面的知识，一般只要能熟练使用SQL语言即可，因此对数据库的安全构成了很大的威胁。另外，目前还有NBSI等SQL注入工具，更使得对数据库的安全受到巨大威胁。如图15.2所示为合作NBSISQL注入攻击工具对某网站成功进行了攻击，从图中可以看出数据库中的内容。15.2.4SQL注入攻击采用这种方式构建的Web服务，经2115.2.4SQL注入攻击15.2.4SQL注入攻击2215.2.4SQL注入攻击许多Web应用程序在编写时没有对用户输入数据的合法性进行检验，导致应用程序通过用户输入的数据构造SQL查询语句时存在着安全隐患。SQL注入攻击的基本思想就是在用户输入中注入一些额外的特殊字符或者SQL语句，使系统构造出来的SQL语句在执行时改变了查询条件，或者附带执行了攻击者注入的SQL语句。攻击者根据程序返回的结果，获得某些想知道的数据，这就是所谓的SQL注入。SQL注入攻击源于英文“SQLInjectionAttack”。目前还没有一种标准的定义，常见的是对这种攻击形式、特点的描述。微软技术中心从两个方面进行了描述：15.2.4SQL注入攻击许多Web应用程序在编写时没有对2315.2.4SQL注入攻击(1) 脚本注入式的攻击。(2) 恶意用户输入用来影响被执行的SQL脚本。由于SQL注入攻击利用了SQL的语法，其针对的是基于数据的应用程序当中的漏洞，这使得SQL注入攻击具有广泛性。理论上说，对于所有基于SQL语言标准的数据库软件都是有效的。一个简单SQL注入攻击的示例如下：通过网页提交数据id、password以验证某个用户的登陆信息；然后通过服务器端的脚本构造如下的SQL查询语句：15.2.4SQL注入攻击(1) 脚本注入式的攻击。2415.2.4SQL注入攻击"SELECT*FROMuserWHEREID='"+id+"'ANDPASSWORD='"+password+"'"如果用户提交的id=abc，password=123系统会验证是否有用户名为abc，密码为123的用户存在，但是攻击者会提交恶意的数据：id=abc，password='OR'1'='1使得脚本语言构造的SQL查询语句变成：SELECT*FROMuserWHEREID='abc'ANDPASSWORD=''OR'1'='1'因为'1'='1'恒为真，所以攻击者就可以轻而易举的绕过密码验证。目前易受到SQL注入攻击的两大系统平台组合：MySQL+PHP和SQLServer+ASP。其中MySQL和SQLServer是两种SQL数据库系统，ASP和PHP是两种服务端脚本语言，SQL注入攻击正是由于服务器脚本程序存在漏洞造成的。15.2.4SQL注入攻击"SELECT*FROMu2515.2.4SQL注入攻击2.SQL注入攻击的一般步骤SQL注入攻击的手法相当灵活，在碰到意外情况时需要构造巧妙的SQL语句，从而成功获取需要的数据。总体来说，SQL注入攻击有以下几个步骤：(1)发现SQL注入位置。找到存在SQL注入漏洞的网页地址，是开始SQL注入的一步。不同的URL地址带有不同类型的参数，需要不同的方法来判断。(2)判断数据库的类型。不同厂商的数据库管理系统的SQL语言虽然都基于标准的SQL语言，但是不同的产品对SQL的支持不尽相同，对SQL也有各自的扩展。而且不同的数据有不同的攻击方法，必须要区别对待。15.2.4SQL注入攻击2.SQL注入攻击的一般步骤2615.2.4SQL注入攻击(3)通过SQL注入获取需要的数据。获得数据库中的机密数据是SQL注入攻击的主要目的。例如管理员的账户信息，登陆口令等等。(4)执行其他的操作。在取得数据库的操作权限之后，攻击者可能会采取进一步的攻击，例如上传木马以获取更高一级的系统控制权限，达到完全控制目标主机的目的。这部分内容本文不做详细讨论。15.2.4SQL注入攻击(3)通过SQL注入获取需要的2715.2.4SQL注入攻击3.SQL注入漏洞的判断一般来说，SQL注入一般存在于形如：http://localhost/show.asp?id=XX等带有参数的动态网页中，这些参数可能有一个或者多个，参数类型可能是数字型或者字符型。如果动态网页带有参数并且访问数据库，那么就有可能存在SQL注入。以下以http://localhost/show.asp?id=XX为例进行分析，XX可能是整型，也有可能是字符串。(1)整型参数的判断当输入的参数XX为整型时，通常show.asp中SQL语句原貌大致如下：select*from表名where字段=XX，所以可以用以下步骤测试SQL注入是否存在。15.2.4SQL注入攻击3.SQL注入漏洞的判断2815.2.4SQL注入攻击①http://localhost/show.asp?id=XX'(附加一个单引号)，此时show.asp中的SQL语句变成了select*from表名where字段=XX'，show.asp运行异常；②http://localhost/show.asp?id=XXand1=1,show.asp运行正常，而且与http://localhost/show.asp?id=XX运行结果相同；③http://localhost/show.asp?id=XXand1=2,show.asp运行异常；如果以上三步全面满足，该脚本中一定存在SQL注入漏洞。15.2.4SQL注入攻击①http://localho2915.2.4SQL注入攻击(2)字符串型参数的判断当输入的参数XX为字符串时，通常show.asp中SQL语句原貌大致如下：select*from表名where字段='XX'，所以可以用以下步骤测试SQL注入是否存在。①http://localhost/show.asp?id=XX'(附加一个单引号)，此时show.asp中的SQL语句变成了select*from表名where字段=XX'，show.asp运行异常；②http://localhost/show.asp?id=XX'or'1'='1,show.asp运行正常，而且与http://localhost/show.asp?id=XX运行结果相同；③http://localhost/show.asp?id=XX'and'1'='2,show.asp运行异常；如果以上三步全面满足，show.asp中一定存在SQL注入漏洞。15.2.4SQL注入攻击(2)字符串型参数的判断3015.2.4SQL注入攻击(3)特殊情况的处理有时程序员会在程序过滤掉单引号等字符，以防止SQL注入。此时可以用以下几种方法尝试注入。①大小定混合法：由于ASP并不区分大小写，而程序员在过滤时通常要么全部过滤大写字符串，要么全部过滤小写字符串，而大小写混合往往会被忽视。如用SelecT代替select，SELECT等。②UNICODE法：在IIS中，以UNICODE字符集实现国际化，我们完全可以IE中输入的字符串化成UNICODE字符串进行输入。如+=%2B，空格=%20等。③ASCII码法：可以把输入的部分或全部字符全部用ASCII码代替，如U=chr(85),a=chr(97)等。图15.3描述了正常情况下访问一个网页的界面，图15.4是在URL后追加and1=1时访问这个网页的界面、图15.5是1=2时访问这个网页的界面。由此可以确定该页面存在SQL注入漏洞。15.2.4SQL注入攻击(3)特殊情况的处理3115.2.4SQL注入攻击15.2.4SQL注入攻击3215.2.4SQL注入攻击15.2.4SQL注入攻击3315.2.4SQL注入攻击15.2.4SQL注入攻击3415.3数据库攻击的防范措施从上一节可以看出针对数据库攻击有各种各样的攻击，本章来讲述针对于上述攻击的防范措施。由于目前互联网上SQL攻击比较多，并且危害比较大，所以本节重点讲述如何防范SQL攻击。15.3数据库攻击的防范措施从上一节可以看出针对数据库攻击3515.3.1数据库攻击防范概述数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、应用环境、从业人员素质等因素息息相关，因此，从广义上讲，数据库系统的安全框架如前所述可以划分为5个层次，这里主要讲其中的三个层次：(1)网络层安全 从广义上讲，数据库的安全首先依赖于网络系统。随着Internet的发展和普及，越来越多的公司将其核心业务向互联网转移，各种基于网络的数据库应用系统如雨后春笋般涌现出来，面向网络用户提供各种信息服务。可以说网络系统是数据库应用的外部环境和基础，数据库系统要发挥其强大作用离不开网络系统的支持，数据库系统的用户（如异地用户、分布式用户）也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的。 从技术角度讲，网络系统层次的安全防范技术有很多种，大致可以分为防火墙、入侵检测、VPN技术等。15.3.1数据库攻击防范概述数据库系统的安全除依赖自身内3615.3.1数据库攻击防范概述(2)操作系统层安全操作系统是大型数据库系统的运行平台，为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在WindowsNT和Unix，安全级别通常为C1、C2级。主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面。操作系统安全策略用于配置本地计算机的安全设置，包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派、加密数据的恢复代理以及其它安全选项。具体可以体现在用户账户、口令、访问权限、审计等方面。15.3.1数据库攻击防范概述(2)操作系统层安全3715.3.1数据库攻击防范概述(3)数据库管理系统层安全数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大，则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统，其安全性功能很弱，这就导致数据库系统的安全性存在一定的威胁。由于数据库系统在操作系统下都是以文件形式进行管理的，因此入侵者可以直接利用操作系统的漏洞窃取数据库文件，或者直接利用OS工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户难以察觉，分析和堵塞这种漏洞被认为是B2级的安全技术措施。15.3.1数据库攻击防范概述(3)数据库管理系统层安全3815.3.1数据库攻击防范概述数据库管理系统层次安全技术主要是用来解决这一问题，即当前面两个层次已经被突破的情况下仍能保障数据库数据的安全，这就要求数据库管理系统必须有一套强有力的安全机制。解决这一问题的有效方法之一是数据库管理系统对数据库文件进行加密处理，使得即使数据不幸泄露或者丢失，也难以被人破译和阅读。以上这三个层次构筑成数据库系统的安全体系，与数据安全的关系是逐步紧密的，防范的重要性也逐层加强，从外到内、由表及里保证数据的安全。15.3.1数据库攻击防范概述数据库管理系统层次安全技术主3915.3.2SQL注入攻击的防范随着一些自动化注入攻击的出现，目前针对Web应用的SQL注入攻击越来越普遍，技术也在不断翻新。但是SQL注入的基本原理还是通过构造畸形的SQL语句，绕过认证系统获得敏感信息。然而为了使用Web服务器和数据库服务器的功能，实现信息交互的目的就不可避免的暴露一些可以被攻击者非法利用的安全缺陷。如何采取有效的措施阻止内部信息泄露，将系统的安全威胁降至最低是防护的关键。这需要从配置Web服务器、配置数据库和编写安全代码等多方面着手，加强系统安全性。15.3.2SQL注入攻击的防范随着一些自动化注入攻击的出4015.3.2SQL注入攻击的防范1.Web服务器的安全配置由于Web服务器庞大而复杂的结构，使得Web服务器在安全方面难免存在缺陷漏洞。正确配置Web服务器可以与有效降低SQL注入的风险。(1)修改服务器初始配置服务器在安装时会添加默认的用户和默认口令，开启默认的连接端口等，这些都会给攻击者留下入侵的可能。在安装完成后应该及时删除默认的账号或者修改默认登录名的权限。关闭所有服务端口后，再开启需要使用的端口。(2)及时安装服务器安全补丁及时对服务器模块进行必要的更新，特别是官方提供的有助于提高系统安全性的补丁包。使服务器保持最新的补丁包，运行稳定的版本。15.3.2SQL注入攻击的防范1.Web服务器的安全配4115.3.2SQL注入攻击的防范(3)关闭服务器的错误提示信息错误提示信息对于调试中的应用程序有着很重要的作用，但是当Web应用一旦发布，这些错误提示信息就应该被关闭。详细的错误信息也会让攻击者获得很多重要信息。自行设置一种错误提示信息，即所有错误都只返回同一条错误消息，让攻击无法获得有价值的信息。(4)配置目录权限对于Web应用程序所在的目录可以设置其为只读的。通过客户端上传的文件单独存放，并设置为没有可执行权限，并且不在允许Web访问的目录下存放机密的系统配置文件。这样是为了防止注入攻击者上传恶意文件，例如Webshell等等。15.3.2SQL注入攻击的防范(3)关闭服务器的错误提4215.3.2SQL注入攻击的防范(5)删除危险的服务器组件有些服务器组件会为系统管理员提供方便的配置途径，比如通过Web页面配置服务器和数据库、运行系统命令等等。但是这些组件可能被恶意用户加以利用，从而对服务器造成更严重的威胁。为安全起见，应当及时删除这样的服务器组件。(6)及时分析系统日志将服务器程序的日志存放在安全目录中，定期对日志文件进行分析，一边第一时间发现入侵。但是日志分析只是一种被动的防御手段，只能分析和鉴别入侵行为的存在，但是对于正在发生的入侵无法做出有效的防范。15.3.2SQL注入攻击的防范(5)删除危险的服务器组4315.3.2SQL注入攻击的防范2.数据库的安全配置(1)修改数据库初始配置数据库系统在安装时会添加默认的用户和默认口令等，例如MySQL安装过程中默认密码为空的root账号。这些都会给攻击者留下入侵的可能。在安装完成后应该及时删除默认的账号或者修改默认登录名的权限。(2)及时升级数据库及时对数据库模块进行必要的更新，特别是官方提供的有助于提高数据库系统安全性的补丁包，可以解决已知的数据库漏洞问题。(3)最小权利法则Web应用程序连接数据库的账户只拥有必要的权限，这有助于保护整个系统尽可能少的受到入侵。用不同的用户账户执行查询、插入、删除等操作，可以防止用于执行SELECT的情况下，被恶意插入执行INSERT、UPDATE或者DELETE语句。15.3.2SQL注入攻击的防范2.数据库的安全配置4415.3.2SQL注入攻击的防范3.脚本解析器安全设置对于PHP编程语言，在php.ini文件中可以配置一些涉及安全性的设置，通过这些设置可以增加SQL的注入难度，降低SQL注入风险：(1)设置“magic_quotes_gpc”为“on”该选项是可以将一些输入的特殊字符自动转义。(2)设置“register_globals”为“off”“register_globals”选项来设置启用/禁止PHP为用户输入创建全局变量，设置为off表示：如果用户提交表单变量"a"，PHP不会创建"&a"，而只会创建_GET['a']或者_POSTVARS['a']。15.3.2SQL注入攻击的防范3.脚本解析器安全设置4515.3.2SQL注入攻击的防范(3)设置“safe_mode”为“on”打开这个选项会增加几条限制：限制指定命令可以执行、限制指定函数可以使用、基于脚本所有权和目标文件所有权的文件访问限制、禁止文件上传功能。(4)设置“open_basedir”为“off”它可以禁止指定文件目录之外的文件操作，有效解决include()函数攻击。(5)设置“display_errors”为“off”此时是禁止把错误信息显示在网页上，因为这些语句中可能会返回应用程序中的有关变量名、数据库用户名、表结构信息等。恶意用户有可能利用其中获取的有关信息进行注入攻击。也可以设置此选项为“on”，但是要修改脚本返回的错误信息，使其发生错误时只显示一种信息。15.3.2SQL注入攻击的防范(3)设置“safe_m4615.3.2SQL注入攻击的防范4.过滤特殊字符SQL注入攻击的实质就是构造畸形的SQL语句，同过Web应用程序送达数据库系统执行。如果Web应用程序没有对用户输入的参数进行过滤，就使用这些参数构造SQL语句送达数据库系统执行，那么极有可能发生SQL注入攻击。(1)整形参数过滤对于整形参数，可以通过强制类型转换，例如：$user_id=(int)_$GET['uid'];将用户输入的参数中非整数部分去除。(2)简单的字符和数字组合参数验证这是最常见的一种输入允许条件，验证这样的数据，正则表达式为：/^\w+$/。这将允许用户输入字母、数字和下划线符号。15.3.2SQL注入攻击的防范4.过滤特殊字符4715.3.2SQL注入攻击的防范(3)包含特殊字符的参数的处理目前网络公认的SQL注入非法字符主要集中在：“‘”、“;”、“--”、“+”、“<”、“>”、“%”、“=”等和一些特殊语句上面，如DELETE。在这些不应该出现特殊字符的地方出现了非法字符就可以直接通过过滤阻止，目前通用的此类防范正则表达式为：(|<|>|’|and||insert|select|delete|--|+|&|update|count|*|%|chr|mid|master|exec|char|declare)当然还要包括这些符号和字符的十进制和十六进制码。这里还有些内容没有添加到表达式中，但是它可以随系统和管理员的需要补充最新的特殊符号，以防止更新的注入攻击形式。(4)限制用户参数长度所有字符串都必须限定为合适的长度。例如，用户名无需使用256个字符。这样可以减少恶意字符串的长度，能够有效地阻止SQL注入攻击的成功实施。15.3.2SQL注入攻击的防范(3)包含特殊字符的参数4815.3.2SQL注入攻击的防范5.应用存储过程防范SQL注入攻击存储过程是一组编译在单个执行计划中的Transact-SQL语句，存储过程是SQL语句和可选控制流语句的预编译集合，以一个名称存储并作为一个单元处理。存储过程存储在数据库内，可由应用程序通过一个调用执行，而且允许用户声明变量、有条件执行以及其它强大的编程功能。存储过程可包含程序流、逻辑以及对数据库的查询。它们可以接受参数、输出参数、返回单个或多个结果集以及返回值。存储过程帮助在不同的应用程序之间实现一致的逻辑。在一个存储过程内，可以设计、编码和测试执行某个常用任务所需的SQL语句和逻辑。而后，每个需要执行该任务的应用程序只须执行此存储过程即可。将业务逻辑编入单个存储过程还提供了单个控制点，以确保业务规则正确执行。如果某操作需要大量Transact-SQL代码或需重复执行，存储过程将比Transact-SQL批代码的执行要快。将在创建存储过程时对其进行分析和优化，并可在首次执行该过程后使用该过程的内存中版本。每次运行Transact-SQL语句时，都要从客户端重复发送，并且在SQLServer每次执行这些语句时，都要对其进行编译和优化。一个需要数百行Transact-SQL代码的操作由一条执行过程代码的单独语句就可实现，而不需要在网络中发送数百行代码。15.3.2SQL注入攻击的防范5.应用存储过程防范SQ4915.3.2SQL注入攻击的防范以身份验证页面为例，在SQLServer2000中编写存储过程：CREATEPROCEDUREda_login@usernamevarchar(16),@passwordvarchar(50)ASSETNOCOUNTONSELECT*FROMuserWHEREusername=@usernameANDpassword=@passwordGO该存储过程包含两个输入参数@username和@password，数据类型为varchar，设用户提交的username为admin'--，password为321。如果不用存储过程，验证SQL语句为：SELECT*FROMuserWHEREusername='admin'--'ANDpassword='321'，密码参数被解释为注释语句，这样只对用户名进行验证，而不对密码进行验证。15.3.2SQL注入攻击的防范以身份验证页面为例，在SQ5015.3.2SQL注入攻击的防范存储过程参数用于在存储过程和调用存储过程的应用程序或工具之间交换数据：输入参数允许调用方将数据值传递到存储过程，输出参数允许存储过程将数据值或游标变量传递回调用方，他们被预先作为独立的数据体与SQL语句交互。上例使用da_login存储过程验证：admin'--，作为一个标准varchar的字符串传递给参数@username，即username的值为admin'--；321作为一个标准varchar的字符串传递给参数@password，即password的值为321。两个参数之间不会进行字符串重组，即存储过程里的SQL查询语句不会组合为：SELECT*FROMuserWHEREusername='admin'--ANDpassword='321'因而da_login存储过程验证是对用户名和密码的完整性验证，是有效地身份验证，在高效能访问数据库的同时，解决了SQLInjection攻击。15.3.2SQL注入攻击的防范存储过程参数用于在存储过程51思考题1.针对数据库的攻击有哪些？2.如何保障数据库系统的安全？3．SQL攻击的原理是什么？4．SQL攻击的过程是什么？5．如何判断一个网站是否可以进行SQL攻击？6．如何防范SQL攻击？思考题1.针对数据库的攻击有哪些？52返回ThanksForAttendance!致谢返回ThanksForAttendance!致谢53第15章数据库系统安全第15章数据库系统安全54概论随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题。各种应用系统的数据库中大量数据的安全问题、敏感数据的防窃取和防篡改问题，越来越引起人们的高度重视。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要，关系到企业兴衰、国家安全。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为业界人士探索研究的重要课题之一，本章就数据库系统安全做讨论。概论随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各55目录第15章数据库系统安全15.1数据库系统安全概述15.2针对数据库系统的攻击15.2.1弱口令攻击15.2.2利用漏洞对数据库发起的攻击15.2.3SQLSerever的单字节溢出攻击15.2.4SQL注入攻击15.3数据库攻击的防范措施15.3.1数据库攻击防范概述15.3.2SQL注入攻击的防范思考题目录第15章数据库系统安全56数据库安全是指数据库的任何部分都没有受到侵害，或者没有受到未经授权的存取和修改。1．数据库安全的内涵数据库安全主要包括数据库系统安全和数据库数据安全两层含义。返回本章首页15.1数据库系统安全概述数据库安全是指数据库的任何部分都没有受到侵害，或者没57（1）数据库系统安全数据库系统安全是指在系统级控制数据库的存取和使用机制，应尽可能地堵住各种潜在的漏洞，防止非法用户利用这些漏洞危害数据库系统的安全；同时保证数据库系统不因软硬件故障和灾害的影响而不能正常运行。数据库系统安全包括：硬件运行安全；物理控制安全；操作系统安全；用户连接数据库需授权；灾害、故障恢复等。返回本章首页（1）数据库系统安全返回本章首页58（2）数据库数据安全数据库数据安全是指在对象级控制数据库的存取和使用的机制，哪些用户可以存取指定的模式对象及在对象上允许有哪些操作。数据库数据安全包括：有效的用户名/口令鉴别；用户访问权限控制；数据存取权限、方式控制；审计跟踪；数据加密等。返回本章首页（2）数据库数据安全返回本章首页592.数据库安全管理原则对数据库系统进行安全管理规划时一般要遵循以下原则：（1）管理细分和委派原则（2）最小权限原则（3）帐号安全原则（4）有效审计原则返回本章首页2.数据库安全管理原则返回本章首页60数据库管理系统简介DBMS是专门负责数据库管理和维护的计算机软件系统，是数据库系统的核心，不仅负责数据库的维护工作，还负责数据库的安全性和完整性。DBMS是与文件系统类似的软件系统，通过DBMS，应用程序和用户可以取得所需的数据。与文件系统不同的是DBMS还定义了所管理的数据之间的结构和约束关系，还提供了一些基本的数据管理和安全功能。返回本章首页数据库管理系统简介DBMS是专门负责数据库管理和维61数据库系统的缺陷与威胁1.数据库系统的缺陷数据库系统的安全缺陷主要体现在以下几个方面：数据库系统安全通常与操作系统安全密切相关数据库系统安全通常被忽视数据库帐号和密码容易泄露返回本章首页数据库系统的缺陷与威胁1.数据库系统的缺陷返回本章首页622.数据库系统面临的威胁数据库系统面临的安全威胁主要来自以下几个方面：物理和环境的因素事务内部故障存储介质故障人为破坏病毒与黑客未经授权的数据读写与修改对数据的异常访问造成数据库系统故障数据库权限设置错误，造成数据的越权访问返回本章首页2.数据库系统面临的威胁返回本章首页6315.2针对数据库系统的攻击数据库系统是在操作系统平台之上的最重要的系统软件，数据库系统的安全可以说是十分重要的。曾经有句话这样说：如果网络遍地是金钱，那么金钱就在数据库服务器中。随着无纸化业务环境的不断扩大，人们在数据库中存储着越来越多的敏感信息：银行账户、医疗记录、政府文件、军事机密等等，数据库系统就成为越来越有价值的攻击目标，因此确保数据库系统的安全也越来越重要。作为一种大型的系统软件，数据库系统中也存在着各种各样的安全漏洞，其中危害性较大的有缓冲区溢出、堆溢出和SQL注入等。本小节将讲述一些典型的针对数据库系统的攻击。15.2针对数据库系统的攻击数据库系统是在操作系统平台之上6415.2.1弱口令攻击弱口令是指口令强度过低，使非授权用户容易在短时间内通过猜解或者少量的列举即可得到口令。弱口令会使非授权用户获得访问数据库的权限。这会造成机密数据泄露、损坏等严重后果。出现弱口令的原因多是在数据库安装和建立用户信息的时候，数据库管理员设置了统一且简单的访问口令，授权用户也没有及时修改默认口令。特别是在某些数据库安装的过程中，安装程序会默认建立一个空白口令的特权用户。15.2.1弱口令攻击弱口令是指口令强度过低，使非授权用户6515.2.1弱口令攻击下面是一个因为存在默认用户名和口令的实例。在2005年的1月W32.Spybot.IVQ蠕虫便是依靠空白口令的root用户感染了数以千计的WindowsMySQL服务器。在MySQL的某些默认配置中，mysql.user表内有4个默认条目：两个条目用于root，两个条目用于匿名账户。在主机build上，有一个用于账户root具有root特权的远程条目。如果在本地主机上，可以用空白口令以root特权进行身份验证，则可以全面控制数据库。如果在本地主机上，可以用任何用户进行身份验证，则可以guest权限访问数据库。15.2.1弱口令攻击下面是一个因为存在默认用户名和口令的6615.2.1弱口令攻击如果在被称为build的远程主机上，可以用任何用户进行身份验证，则可以以guest权限访问数据库。在Windows主机上，root账户的存在使得任何本地用户都可以将其自己提升到本地系统级访问权限，因为MySQL默认以SYSTEM运行。而且，如果攻击者简单地将他的主机命名为build，MySQL服务一旦启动，他就具有了对主机的远程系统级的访问权限。针对这一问题最好的保护是采取以下措施：(1)安装MySQL是禁止网络访问（拔掉网线或者应用全部防火墙规则）。(2)在安装之后，应立刻删除mysql.user表内除了本地主机（localhost）root账户之外的所有账户。(3)为本地主机的root账户设置复杂的口令。15.2.1弱口令攻击如果在被称为build的远程主机上，6715.2.2利用漏洞对数据库发起的攻击数据库厂商会发现自己产品中的某些安全问题，然后为自己的产品提供某些安全补丁，产品的版本随之不断升级。作为数据库的用户，如果不及时升级自己的数据库，就会面临安全威胁。下面以零长度字符串绕过MySQL身份验证漏洞攻击为例子，讲解利用漏洞对数据库的攻击。15.2.2利用漏洞对数据库发起的攻击数据库厂商会发现自己6815.2.2利用漏洞对数据库发起的攻击在MySQL5.0以前的版本中，MySQL通过下面语句：check_scramble_323(passwd,thd->scramble,(ulong*)acl_user_tmp->salt)==0来判断用户输入的密码是否正确，然而在check_scramble_323()函数内可以看到：boolcheck_scramble_323(constchar*scrambled,constchar*message,ulong*hash_pass){ …… while(*scrambled){ if(*scrambled++!=(char)(*to++^extra)) return1; //密码错误}return0;}15.2.2利用漏洞对数据库发起的攻击在MySQL5.0以6915.2.2利用漏洞对数据库发起的攻击这里，用户可以指定一个其所需长度的字符串。在这个简单的身份验证中，如果指定长度为0的字符串。在最后的循环中，循环比较scrambled字符串和MySQL所得到的字符串的每个字符，直到scrambled字符串内没有字符为止。因为scrambled字符串长度为0，根本不会进行循环比较，所以验证函数直接返回0，使得用户以0长度字符串通过身份验证。这是一个非常简单的利用数据库漏洞的例子。15.2.2利用漏洞对数据库发起的攻击这里，用户可以指定一7015.2.3SQLSerever的单字节溢出攻击SQLServer2000会监听UDP：1433端口，而且会对值为0x02的单字节报文进行响应，返回关于SQLServer的信息。但是当单字节报文的值不是0x02而是其他值时，SQLServer将会异常。会引起异常的值包括：0x04，导致栈溢出发生；0x08字符，会导致对溢出；0x0A，会引发拒绝服务攻击。另外，在一些数据库管理系统，如WinMySQLAdmin在my.ini文件中以明文形式保存了MySQL的口令信息。使得非授权的本地用户也可以访问MySQL数据库。15.2.3SQLSerever的单字节溢出攻击SQL7115.2.4SQL注入攻击1.SQL注入攻击原理浏览器/服务器(B/S，Browser/Server，）结构是互联网兴起后的一种网络结构模式，这种模式统一了客户端，将系统功能实现的核心部分集中到服务器上，简化了系统的开发、维护和使用。B/S结构由服务端、浏览器和通信协议三大部分组成。如下图所示：15.2.4SQL注入攻击1.SQL注入攻击原理7215.2.4SQL注入攻击15.2.4SQL注入攻击7315.2.4SQL注入攻击采用这种方式构建的Web服务，经常受到SQL注入的攻击。近几年，针对Web服务数据库的SQL注入攻击非常多。SQL注入可导致数据库系统中的普通用户窃取机密数据、进行权限提升等，而这种攻击方式又不需要太多计算机方面的知识，一般只要能熟练使用SQL语言即可，因此对数据库的安全构成了很大的威胁。另外，目前还有NBSI等SQL注入工具，更使得对数据库的安全受到巨大威胁。如图15.2所示为合作NBSISQL注入攻击工具对某网站成功进行了攻击，从图中可以看出数据库中的内容。15.2.4SQL注入攻击采用这种方式构建的Web服务，经7415.2.4SQL注入攻击15.2.4SQL注入攻击7515.2.4SQL注入攻击许多Web应用程序在编写时没有对用户输入数据的合法性进行检验，导致应用程序通过用户输入的数据构造SQL查询语句时存在着安全隐患。SQL注入攻击的基本思想就是在用户输入中注入一些额外的特殊字符或者SQL语句，使系统构造出来的SQL语句在执行时改变了查询条件，或者附带执行了攻击者注入的SQL语句。攻击者根据程序返回的结果，获得某些想知道的数据，这就是所谓的SQL注入。SQL注入攻击源于英文“SQLInjectionAttack”。目前还没有一种标准的定义，常见的是对这种攻击形式、特点的描述。微软技术中心从两个方面进行了描述：15.2.4SQL注入攻击许多Web应用程序在编写时没有对7615.2.4SQL注入攻击(1) 脚本注入式的攻击。(2) 恶意用户输入用来影响被执行的SQL脚本。由于SQL注入攻击利用了SQL的语法，其针对的是基于数据的应用程序当中的漏洞，这使得SQL注入攻击具有广泛性。理论上说，对于所有基于SQL语言标准的数据库软件都是有效的。一个简单SQL注入攻击的示例如下：通过网页提交数据id、password以验证某个用户的登陆信息；然后通过服务器端的脚本构造如下的SQL查询语句：15.2.4SQL注入攻击(1) 脚本注入式的攻击。7715.2.4SQL注入攻击"SELECT*FROMuserWHEREID='"+id+"'ANDPASSWORD='"+password+"'"如果用户提交的id=abc，password=123系统会验证是否有用户名为abc，密码为123的用户存在，但是攻击者会提交恶意的数据：id=abc，password='OR'1'='1使得脚本语言构造的SQL查询语句变成：SELECT*FROMuserWHEREID='abc'ANDPASSWORD=''OR'1'='1'因为'1'='1'恒为真，所以攻击者就可以轻而易举的绕过密码验证。目前易受到SQL注入攻击的两大系统平台组合：MySQL+PHP和SQLServer+ASP。其中MySQL和SQLServer是两种SQL数据库系统，ASP和PHP是两种服务端脚本语言，SQL注入攻击正是由于服务器脚本程序存在漏洞造成的。15.2.4SQL注入攻击"SELECT*FROMu7815.2.4SQL注入攻击2.SQL注入攻击的一般步骤SQL注入攻击的手法相当灵活，在碰到意外情况时需要构造巧妙的SQL语句，从而成功获取需要的数据。总体来说，SQL注入攻击有以下几个步骤：(1)发现SQL注入位置。找到存在SQL注入漏洞的网页地址，是开始SQL注入的一步。不同的URL地址带有不同类型的参数，需要不同的方法来判断。(2)判断数据库的类型。不同厂商的数据库管理系统的SQL语言虽然都基于标准的SQL语言，但是不同的产品对SQL的支持不尽相同，对SQL也有各自的扩展。而且不同的数据有不同的攻击方法，必须要区别对待。15.2.4SQL注入攻击2.SQL注入攻击的一般步骤7915.2.4SQL注入攻击(3)通过SQL注入获取需要的数据。获得数据库中的机密数据是SQL注入攻击的主要目的。例如管理员的账户信息，登陆口令等等。(4)执行其他的操作。在取得数据库的操作权限之后，攻击者可能会采取进一步的攻击，例如上传木马以获取更高一级的系统控制权限，达到完全控制目标主机的目的。这部分内容本文不做详细讨论。15.2.4SQL注入攻击(3)通过SQL注入获取需要的8015.2.4SQL注入攻击3.SQL注入漏洞的判断一般来说，SQL注入一般存在于形如：http://localhost/show.asp?id=XX等带有参数的动态网页中，这些参数可能有一个或者多个，参数类型可能是数字型或者字符型。如果动态网页带有参数并且访问数据库，那么就有可能存在SQL注入。以下以http://localhost/show.asp?id=XX为例进行分析，XX可能是整型，也有可能是字符串。(1)整型参数的判断当输入的参数XX为整型时，通常show.asp中SQL语句原貌大致如下：select*from表名where字段=XX，所以可以用以下步骤测试SQL注入是否存在。15.2.4SQL注入攻击3.SQL注入漏洞的判断8115.2.4SQL注入攻击①http://localhost/show.asp?id=XX'(附加一个单引号)，此时show.asp中的SQL语句变成了select*from表名where字段=XX'，show.asp运行异常；②http://localhost/show.asp?id=XXand1=1,show.asp运行正常，而且与http://localhost/show.asp?id=XX运行结果相同；③http://localhost/show.asp?id=XXand1=2,show.asp运行异常；如果以上三步全面满足，该脚本中一定存在SQL注入漏洞。15.2.4SQL注入攻击①http://localho8215.2.4SQL注入攻击(2)字符串型参数的判断当输入的参数XX为字符串时，通常show.asp中SQL语句原貌大致如下：select*from表名where字段='XX'，所以可以用以下步骤测试SQL注入是否存在。①http://localhost/show.asp?id=XX'(附加一个单引号)，此时show.asp中的SQL语句变成了select*from表名where字段=XX'，show.asp运行异常；②http://localhost/show.asp?id=XX'or'1'='1,show.asp运行正常，而且与http://localhost/show.asp?id=XX运行结果相同；③http://localhost/show.asp?id=XX'and'1'='2,show.asp运行异常；如果以上三步全面满足，show.asp中一定存在SQL注入漏洞。15.2.4SQL注入攻击(2)字符串型参数的判断8315.2.4SQL注入攻击(3)特殊情况的处理有时程序员会在程序过滤掉单引号等字符，以防止SQL注入。此时可以用以下几种方法尝试注入。①大小定混合法：由于ASP并不区分大小写，而程序员在过滤时通常要么全部过滤大写字符串，要么全部过滤小写字符串，而大小写混合往往会被忽视。如用SelecT代替select，SELECT等。②UNICODE法：在IIS中，以UNICODE字符集实现国际化，我们完全可以IE中输入的字符串化成UNICODE字符串进行输入。如+=%2B，空格=%20等。③ASCII码法：可以把输入的部分或全部字符全部用ASCII码代替，如U=chr(85),a=chr(97)等。图15.3描述了正常情况下访问一个网页的界面，图15.4是在URL后追加and1=1时访问这个网页的界面、图15.5是1=2时访问这个网页的界面。由此可以确定该页面存在SQL注入漏洞。15.2.4SQL注入攻击(3)特殊情况的处理8415.2.4SQL注入攻击15.2.4SQL注入攻击8515.2.4SQL注入攻击15.2.4SQL注入攻击8615.2.4SQL注入攻击15.2.4SQL注入攻击8715.3数据库攻击的防范措施从上一节可以看出针对数据库攻击有各种各样的攻击，本章来讲述针对于上述攻击的防范措施。由于目前互联网上SQL攻击比较多，并且危害比较大，所以本节重点讲述如何防范SQL攻击。15.3数据库攻击的防范措施从上一节可以看出针对数据库攻击8815.3.1数据库攻击防范概述数据库系统的安全除依赖自身内部的安全机制外，还与外部网络环境、应用环境、从业人员素质等因素息息相关，因此，从广义上讲，数据库系统的安全框架如前所述可以划分为5个层次，这里主要讲其中的三个层次：(1)网络层安全 从广义上讲，数据库的安全首先依赖于网络系统。随着Internet的发展和普及，越来越多的公司将其核心业务向互联网转移，各种基于网络的数据库应用系统如雨后春笋般涌现出来，面向网络用户提供各种信息服务。可以说网络系统是数据库应用的外部环境和基础，数据库系统要发挥其强大作用离不开网络系统的支持，数据库系统的用户（如异地用户、分布式用户）也要通过网络才能访问数据库的数据。网络系统的安全是数据库安全的第一道屏障，外部入侵首先就是从入侵网络系统开始的。 从技术角度讲，网络系统层次的安全防范技术有很多种，大致可以分为防火墙、入侵检测、VPN技术等。15.3.1数据库攻击防范概述数据库系统的安全除依赖自身内8915.3.1数据库攻击防范概述(2)操作系统层安全操作系统是大型数据库系统的运行平台，为数据库系统提供一定程度的安全保护。目前操作系统平台大多数集中在WindowsNT和Unix，安全级别通常为C1、C2级。主要安全技术有操作系统安全策略、安全管理策略、数据安全等方面。操作系统安全策略用于配置本地计算机的安全设置，包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权利指派、加密数据的恢复代理以及其它安全选项。具体可以体现在用户账户、口令、访问权限、审计等方面。15.3.1数据库攻击防范概述(2)操作系统层安全9015.3.1数据库攻击防范概述(3)数据库管理系统层安全数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大，则数据库系统的安全性能就较好。目前市场上流行的是关系式数据库管理系统，其安全性功能很弱，这就导致数据库系统的安全性存在一定的威胁。由于数据库系统在操作系统下都是以文件形式进行管理的，因此入侵者可以直接利用操作系统的漏洞窃取数据库文件，或者直接利用OS工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户难以察觉，分析和堵塞这种漏洞被认为是B2级的安全技术措施。15.3.1数据库攻击防范概述(3)数据库管理系统层安全9115.3.1数据库攻击防范概述数据库管理系统层次安全技术主要是用来解决这一问题，即当前面两个层次已经被突破的情况下仍能保障数据库数据的安全，这就要求数据库管理系统必须有一套强有力的安全机制。解决这一问题的有效方法之一是数据库管理系统对数据库文件进行加密处理，使得即使数据不幸泄露或者丢失，也难以被人破译和阅读。以上这三个层次构筑成数据库系统的安全体系，与数据安全的关系是逐步紧密的，防范的重要性也逐层加强，从外到内、由表及里保证数据的安全。15.3.1数据库攻击防范概述数据库管理系统层次安全技术主9215.3.2SQL注入攻击的防范随着一些自动化注入攻击的出现，目前针对Web应用的SQL注入攻击越来越普遍，技术也在不断翻新。但是SQL注入的基本原理还是通过构造畸形的SQL语句，绕过认证系统获得敏感信息。然而为了使用Web服务器和数据库服务器的功能，实现信息交互的目的就不可避免的暴露一些可以被攻击者非法利用的安全缺陷。如何采取有效的措施阻止内部信息泄露，将系统的安全威胁降至最低是防护的关键。这需要从配置Web服务器、配置数据库和编写安全代码等多方面着手，加强系统安全性。15.3.2SQL注入攻击的防范随着一些自动化注入攻击的出9315.3.2SQL注入攻击的防范1.Web服务器的安全配置由于Web服务器庞大而复杂的结构，使得Web服务器在安全方面难免存在缺陷漏洞。正确配置Web服务器可以与有效降低SQL注入的风险。(1)修改服务器初始配置服务器在安装时会添加默认的用户和默认口令，开启默认的连接端口等，这些都会给攻击者留下入侵的可能。在安装完成后应该及时删除默认的账号或者修改默认登录名的权限。关闭所有服务端口后，再开启需要使用的端口。(2)及时安装服务器安全补丁及时对服务器模块进行必要的更新，特别是官方提供的有助于提高系统安全性的补丁包。使服务器保持最新的补丁包，运行稳定的版本。15.3.2SQL注入攻击的防范1.Web服务器的安全配9415.3.2SQL注入攻击的防范(3)关闭服务器的错误提示信息错误提示信息对于调试中的应用程序有着很重要的作用，但是当Web应用一旦发布，这些错误提示信息就应该被关闭。详细的错误信息也会让攻击者获得很多重要信息。自行设置一种错误提示信息，即所有错误都只返回同一条错误消息，让攻击无法获得有价值的信息。(4)配置目录权限对于Web应用程序所在的目录可以设置其为只读的。通过客户端上传的文件单独存放，并设置为没有可执行权限，并且不在允许Web访问的目录下存放机密的系统配置文件。这样是为了防止注入攻击者上传恶意文件，例如Webshell等等。15.3.2SQL注入攻击的防范(3)关闭服务器的错误提9515.3.2SQL注入攻击的防范(5)删除危险的服务器组件有些服务器组件会为系统管理员提供方便的配置途径，比如通过Web页面配置服务器和数据库、运行系统命令等等。但是这些组件可能被恶意用户加以利用，从而对服务器造成更严重的威胁。为安全起见，应当及时删除这样的服务器组件。(6)及时分析系统日志将服务器程序的日志存放在安全目录中，定期对日志文件进行分析，一边第一时间发现入侵。但是日志分析只是一种被动的防御手段，只能分析和鉴别入侵行为的存在，但是对于正在发生的入侵无法做出有效的防范。15.3.2SQL注入攻击的防范(5)删除危险的服务器组9615.3.2SQL注入攻击的防范2.数据库的安全配置(1)修改数据库初始配置数据库系统在安装时会添加默认的用户和默认口令等，例如MySQL安装过程中默认密码为空的root账号。这些都会给攻击者留下入侵的可能。在安装完成后应该及时删除默认的账号或者修改默认登录名的权限。(2)及时升级数据库及时对数据库模块进行必要的更新，特别是官方提供的有助于提高数据库系统安全性的补丁包，可以解决已知的数据库漏洞问题。(3)最小权利法则Web应用程序连接数据库的账户只拥有必要的权限，这有助于保护整个系统尽可能少的受到入侵。用不同的用户账户执行查询、插入、删除等操作，可以防止用于执行SELECT的情况下，被恶意插入执行INSERT、UPDATE或者DELETE语句。15.3.2SQL注入攻击的防范2.数据库的安全配置9715.3.2SQL注入攻击的防范3.脚本解析器安全设置对于PHP编程语言，在php.ini文件中可以配置一些涉及安全性的设置，通过这些设置可以增加SQL的注入难度，降低SQL注入风险：(1)设置“magic_quotes_gpc”为“on”该选项是可以将一些输入的特殊字符自动转义。(2)设置“register_globals”为“off”“register_globals”选项来设置启用/禁止PHP为用户输入创建全局变量，设置为off表示：如果用户提交表单变量"a"，PHP不会创建"&a"，而只会创建_GET['a']或者_POSTVARS['a']。15.3.2SQL注入攻击的防范3.脚本解析器安全设置9815.3.2SQL注入攻击的防范(3)设置“safe_mode”为“on”打开这个选项会增加几条限制：限制指定命令可以执行、限制指定函数可以使用