基于敏感字符的SQL注入攻击防御方法; SQL Injection Prevention Based on Sensitive Characters | |
张慧琳 ; 丁羽 ; 张利华 ; 段镭 ; 张超 ; 韦韬 ; 李冠成 ; 韩心慧 | |
刊名 | 计算机研究与发展
![]() |
2016 | |
关键词 | SQL 注入攻击 可信敏感字符 动态污点分析 积极污点分析 编码转换 SQL injection attack trusted sensitive character dynamic taint analysis positive taint analysis U T F-8 encoding |
英文摘要 | SQL注入攻击历史悠久,其检测机制也研究甚广.现有的研究利用污点分析(taint analysis)结合SQL语句语法分析进行SQL注入攻击检测,但由于需要修改Web应用程序执行引擎来标记和跟踪污点信息,难以部署,并且时间和空间性能损失过大.通过分析SQL注入攻击机理,提出一种基于敏感字符的SQL注入攻击防御方法.1)仅对来自常量字符串的可信敏感字符进行积极污点标记;2)无需修改Web应用程序执行引擎,利用编码转换将污点信息直接存储在可信敏感字符的编码值中,动态跟踪其在程序中的传播;3)无需SQL语句语法分析,只需利用编码值判断SQL语句中敏感字符的来源、转义非可信敏感字符,即可防御SQL注入攻击.基于PHP的Zend引擎实现了系统原型PHPGate ,以插件方式实现、易部署.实验证明:PHPGate可精确防御SQL注入攻击,且有效提升污点传播效率,页面应答的时间开销不超过1.6%.; 国家自然科学基金项目(61572149,61402125) This work was supported by the National Natural Science Foundation of China (61572149,61402125).; 中文核心期刊要目总览(PKU); 中国科技核心期刊(ISTIC); 中国科学引文数据库(CSCD); 10; 2261-2275; 53 |
语种 | 英语 |
内容类型 | 期刊论文 |
源URL | [http://ir.pku.edu.cn/handle/20.500.11897/478653] ![]() |
专题 | 计算机科学技术研究所 |
推荐引用方式 GB/T 7714 | 张慧琳,丁羽,张利华,等. 基于敏感字符的SQL注入攻击防御方法, SQL Injection Prevention Based on Sensitive Characters[J]. 计算机研究与发展,2016. |
APA | 张慧琳.,丁羽.,张利华.,段镭.,张超.,...&韩心慧.(2016).基于敏感字符的SQL注入攻击防御方法.计算机研究与发展. |
MLA | 张慧琳,et al."基于敏感字符的SQL注入攻击防御方法".计算机研究与发展 (2016). |
个性服务 |
查看访问统计 |
相关权益政策 |
暂无数据 |
收藏/分享 |
除非特别说明,本系统中所有内容都受版权保护,并保留所有权利。
修改评论