基于插件的结构化查询语言SQL注入检测方法和装置制造方法及图纸

本发明专利技术公开了基于插件的结构化查询语言SQL注入检测方法和装置，在全球广域网Web应用服务器上部署SQL拦截插件，Web应用服务器中执行如下SQL注入检测方法包括：接收数据库访问请求；获取数据库访问请求中的请求参数值，判断当前请求参数值中是否存在SQL关键字；若当前请求参数值中存在SQL关键字，从数据库访问请求中，获取的包含SQL关键字的完整SQL语句；提取完整SQL语句的词法，若完整SQL语句的词法与SQL查询原生语句的词法不一致，则采用SQL拦截插件在数据库访问请求中加入SQL拦截探针。本发明专利技术能够解决现有的SQL注入检测技术存在的误报和漏报的问题。

Method and device for injection detection of structured query language SQL based on plug-in

The invention discloses a plug-in structured query language SQL detection method and device based on injection, deployed in the world wide web Web application server SQL interception plugin, Web application server performs the following SQL injection detection method including: receiving database access request; the request parameters to obtain data base access request in the value judgment of the current request parameter exists the SQL keyword value; if the current request parameter values from the existing SQL keyword, database access request, complete SQL statement contains the SQL keyword acquisition; extract the complete SQL statement syntax, if complete SQL statement lexical and SQL query sentences of lexical native inconsistent with SQL plugin in the database access request interception join SQL to intercept the probe. The invention can solve the problems of false alarm and missing report in the existing SQL injection detection technology.

【技术实现步骤摘要】
基于插件的结构化查询语言SQL注入检测方法和装置
本专利技术涉及网络信息安全
，具体涉及基于插件的结构化查询语言SQL注入检测方法和装置。
技术介绍
在网络安全
，使用B/S(浏览器/服务器)模式进行应用开发时，若没有对客户端侧用户输入数据的合法性进行检测，则会使得应用程序存在一定的安全隐患，导致应用程序存在结构化查询语言(SQL，StructuredQueryLanguage)注入风险。SQL是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统，SQL注入防护一直是网络安全的重点。而SQL注入通过把SQL命令插入到Web表单中，或把SQL命令输入域名中或把SQL命令插入到页面请求的查询字符串中，最终达到欺骗服务器来执行恶意的SQL命令。攻击者通过SQL注入，对应用程序造成攻击，从而获得敏感信息，并且在一些情况下，还有可能导致服务器权限的丢失。因此，对于数据库系统来说，防御SQL注入相当重要，而网站管理人员对SQL注入的防御也极其重视。目前，常见的SQL注入防御技术通常采用网络抓包的方式，也就是说将通过网络中间安全设备抓取到网络数据包，然后分析这本文档来自技高网...

【技术保护点】
基于插件的结构化查询语言SQL注入检测方法，其特征在于，在全球广域网Web应用服务器上部署SQL拦截插件，所述Web应用服务器中执行如下SQL注入检测方法包括：获取数据库访问请求中的请求参数值，判断当前请求参数值中是否存在SQL关键字；若所述当前请求参数值中存在所述SQL关键字，从所述数据库访问请求中，获取的包含所述SQL关键字的完整SQL语句；提取所述完整SQL语句的词法，若所述完整SQL语句的词法与SQL查询原生语句的词法不一致，则采用所述SQL拦截插件在所述数据库访问请求中加入SQL拦截探针。

【技术特征摘要】
1.基于插件的结构化查询语言SQL注入检测方法，其特征在于，在全球广域网Web应用服务器上部署SQL拦截插件，所述Web应用服务器中执行如下SQL注入检测方法包括：获取数据库访问请求中的请求参数值，判断当前请求参数值中是否存在SQL关键字；若所述当前请求参数值中存在所述SQL关键字，从所述数据库访问请求中，获取的包含所述SQL关键字的完整SQL语句；提取所述完整SQL语句的词法，若所述完整SQL语句的词法与SQL查询原生语句的词法不一致，则采用所述SQL拦截插件在所述数据库访问请求中加入SQL拦截探针。2.如权利要求1所述SQL注入检测方法，其特征在于，所述判断当前请求参数值中是否存在SQL关键字，还包括：若所述当前请求参数值中不存在所述SQL关键字，则获取下一个数据库访问请求。3.如权利要求1或者2所述SQL注入检测方法，其特征在于，所述提取所述完整SQL语句的词法之后，还包括：若所述完整SQL语句的词法与SQL查询原生语句的词法一致，则允许所述数据库访问请求。4.如权利要求1或者2所述SQL注入检测方法，其特征在于，所述提取所述完整SQL语句的词法之前，还包括：去掉所述完整SQL语句中的所述SQL关键字。5.基于插件的结构化查询语言SQL注入检测装置，其特征在于，在全球广域网Web应用服务器上部署SQL拦截插件，同时在所述Web应用服务器上部署SQL注入...

【专利技术属性】
技术研发人员：周黎明，
申请(专利权)人：北京安数云信息技术有限公司，
类型：发明
国别省市：北京,11