防止SQL注入式攻击的3个免费工具——在黑客攻击前找出网站和数据库中的漏洞

今年早些时候，针对微软技术客户的SQL注入式攻击事件数量出现一个明显的激增。SQL注入式攻击是一种很常见的技术，它利用Web应用程序上未进行过滤的输入字段对程序进行攻击。例如，假设你有一个程序，让用户在网页的两个单独的字段上填写姓和名。     

防御代码注入式攻击的字面值污染方法

当前几乎所有的Web应用程序都面临着诸如跨站脚本(XSS)和SQL注入等代码注入式攻击的威胁,这种威胁源自于程序对用户输入缺乏验证和过滤,导致恶意输入可作为数据库查询或页面中的脚本而执行,从而破坏网站的数据完整性,泄露用户隐私.为了增强应用程序对此类攻击的抵抗性,提出一种针对Web程序的字面值污染方法,该方法能够对代码注入式攻击给予高效的防御且十分易于部署.此方案通过强化服务器端脚本配合可自定义的安全过滤策略,达到对此类攻击的完全免疫.尽管需要对Web应用程序进行插桩等修改,但该过程是完全自动化和正确的,在处理大规模的程序时具有很强的实用价值.通过实现该技术的原型系统PHPHard对若干PHP应用程序的初步实验,可以发现该方法能够移除恶意脚本,成功阻止跨站脚本的攻击.与传统方法相比,它在精确度和有效性上具有优势,且仅引入了很小的开销.     

Web应用中的攻击防御技术的研究与实现

该文介绍了SQL注入式攻击、XSS跨站脚本攻击、会话劫持3种网络攻击手段的原理,并在此基础上重点论述了如何防范这些攻击的方法。     

18招搞定SQL Server 2000数据库安全（上）

SQL Server数据库在企业中的应用越来越多，安全性显得越来越突出。现在各种攻击SQL Server的方法在Internet上快速地流行，比如“脚本注入式攻击”。那么我们如何加强数据库的安全呢?下面笔者就借“降龙十八掌”之名，向大家介绍一些提升SQL Server的安全的方法和技巧。     

深度解析SQL注入十大方式保护数据安全

SQL注入是什么？ SQL注入式攻击的原理非常简单。当一款应用软件进行用户数据输出时,就为恶意用户入侵制造了机会,从而导致输入是作为SQL序列出现而不是数据。     

SQL注入攻击原理及预防

从2007年底至今,SQL注入式攻击成为黑客犯罪的主要手段,利用Google搜索引擎来确定注入点,并插入指向恶意内容的链接,其造成的威胁是巨大的,通过了解其原理,建立有效的安全体系来防范SQL注入式攻击。     

SQL注入式攻击下的数据库安全——SQL Server下SQL注入攻击的有效防范

随着数据库技术和网络技术的迅速成长,数据库已经应用到各行各业,同时,数据的安全问题也随之推上浪尖。本文将从应用的角度出发,论述了SQL Server安全措施;同时,本文对SQL注入式攻击的原理、步骤、危害进行必要讲解,并着重阐述对SQL注入式攻击的防范措施。     

SQL注入式攻击分析

计算机网络的飞速发展,使得人们对于网络安全越来越关注。随着多起SQL注入式攻击案例的出现。大家已经开始逐步的关心这类问题。该文针对当今的SQL注入式攻击的特点进行阐述。对大家认清SQL注入式攻击有一定的参考价值。     

SQL注入式攻击及相应对策

本文对SQL注入式攻击的形成原理和主要攻击方式进行了详细分析．然后有针对性地提出相应对策。同时也针对复杂的网络环境和其潜在的SQL注入式攻击提供了具体的安全保障措施。     

基于jQuery的SQL注入攻击防范实现

现今实现防止SQL注入攻击主要是在服务器端实现,实现的方法主要有基于正则表达式的输入验证、敏感字符的改写、部分数据加密。上述方法的缺点主要体现在以下的几个方面,其一,服务端处理数据使系统资源被过分占用,容易造成服务器端拒绝服务;其二,编写动态网页的脚本语言多样化,每种脚本对应一种防止SQL注入方法,使程序不具有可读性、标准性。文中着力解决基于服务器端处理SQL注入攻击的缺陷,故探寻了一种在客服端实现的基于jQuery防止SQL注入攻击的方法,其目的是使攻击在客服端就被拦截,同时利用jQuery开放性的特点使web程序更具有可移植性。     

基于部件拆分的颜体字合成

利用SQL SERVER数据库管理方法和数字图像处理技术,提出一种基于部件拆分构造颜体字的方法。以《颜勤礼碑》碑刻中颜体字为基础,根据颜体字能够独立拆分的特性,对原有颜体字进行部件拆分编码,并同时对颜体字结构、平面区位信息进行编码,构建出合成颜体字所必须的完整数据库。通过C++语言和图像算法,实现了图像中颜体字部件大小、位置的自动调整和部件形态的修饰。方法已通过软件实现,证明了其可行性。     

链码表和线段表用于图像特征提取的研究

针对图像特征提取中轮廓跟踪的问题，介绍了链码表和线段表的数据结构，及其在肺癌细胞特征提取中的应用。在对肺癌细胞图像进行轮廓跟踪过程中，首先用行扫描得到细胞轮廓起点，然后采用链码跟踪技术，跟踪其轮廓，得到一个封闭的轮廓信息即链码表，一直到所有的轮廓跟踪完毕为止。然后通过线性转换得到线段表，再根据链码表和线段表分别求出周长和面积等特征。最后在Visual C＋＋软件平台上对该方法进行了验证。结果证明，该方法可准确求出肺癌细胞图像的几何特征。     

基于.NET平台采用ADO.NET实现数据访问层

目前传统的Web应用程序访问数据库的方法是SQL代码嵌入在domain/business类中,一旦系统出现改动,就要修改源代码。目前比较通用的方法是SQL代码写在独立的一个或多个数据类中或在存储过程中,这种方法能压缩源代码。提出了通用数据类的概念。采用通用数据类,使程序开发人员摆脱开SQL和事务,达到了快速开发的目的。利用ADO.NET和XML技术实现了数据访问层的思想,并实现了事务集中处理。     

自然语言向SQL代码的转化方法

为解决智能学习系统查询语言的转化问题,提出一种自然语言向SQL代码转化的方法。利用所建立的字典扫描单词和理解语义,采用改进后的单词提取技术扫描自然语言串,以生成语义依赖树,并将其语义关系划分为若干独立的集合块,通过对该集合块遍历生成与自然语言等价的SQL代码。实验结果表明,该转化方法简单有效。     

ASP网站防止SQL注入策略研究

SQL注入是ASP网站中常见的一种针对数据库层的攻击方法。文章分析了SQL注入的原理和攻击方法,总结了防止SQL注入的三种方式：第一,通过书写代码过滤页面中post或者get请求中参数信息的非法字符来实现;第二,通过设置IIS出错后的报错信息来使得入侵者得不到有用的信息;第三,通过对网站的权限分开设置,使得入侵者无法取...     

中文数据排序与快速检索方法研究

通过对GBK编码、全拼输入法、常用汉字拼音和SQLServer2000排序音等的研究,制定出适用的选取汉字拼音的方案,进而编程获得汉字拼音,以实现中文信息的快速检索。     

多字体印刷维吾尔文的切分

在许多文字识别系统中, 字符切分是预处理阶段的一部分, 其目的是从文本图象中分离出字母图象。而后才能针对切分后的每个字母进行识别。在具有连体特征的文字中, 字符切分就显得特别重要, 因为字符切分的准确与否直接影响字符的识别。维吾尔文就具有这种明显的连体特点, 本文主要讨论了采用抽取投影特征的方法, 实现了多字体维吾尔文的行切分、字切分和字符切分。     

用于C语言与SQL Server的嵌入式SQL编程技术

针对嵌入式SQL编程技术,本文论述了C程序中嵌入SQL语句的代码格式,嵌入式SQL语言与C语言之间的通信方式以及嵌入式SQL应用程序在VC 6.0中的编译过程,并给出了直观的代码实例。     

水书水字类属码的研究

在我国贵州南部至今还使用一种古老的民族宗教典籍“水书”。水书水字的字形复杂,按照汉字编码理论提取的部件或码元很难与水字字形对应。水字的发音较难,采用音码理论实现水字的有序性也较困难。本文提出了水字类属码的编码模式。按照水字内容给予归类,由四位编码组成,第一码位为水字的类别码,区分正体水字和异体水字。第二码位为水字的属性码,根据水字内容进行编码。第三四位编码为水字在各属性中的摆放顺序位置。概述了实现水字可视化输入法的思路。     

GKD-Base PL/SQL存储过程的设计与实现

存储过程作为一种高效访问数据库的机制,是现代数据库系统的重要特征。该文兼容OraclePL/SQLV2.3语言规范,在数据库管理系统GKD-BasePL/SQL引擎上,采用语法树表示存储过程的中间代码,并设计了函数管理器。从而在GKD-Base上实现了有效的存储过程编译、存储、调用和执行机制。