[发明专利]一种SQL注入校验方法、服务器以及系统

说明书

本发明提供一种SQL注入校验方法、服务器以及系统，通过接收请求终端对目标应用的访问请求，访问请求包含用户输入的待校验信息；对待校验信息启动校验，包括根据目标应用Java校验程序指定的外部数据库中调用groovy脚本，通过groovy脚本中定义的正则表达式，对待校验信息进行校验；根据校验结果生成与之对应的响应消息，将响应消息下发给请求终端；在后台管理员发现新的SQL注入攻击时，可以直接对数据库中的groovy脚本校验程序进行更新修改，服务器在运行SQL语句时可动态调用执行该groovy脚本，而不需要对业务代码进行重新上传发布，极大提高了针对SQL注入攻击的处理效率，便于后台管理员对应用程序的及时维护，有利于保证网络安全。

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种SQL注入校验方法、服务器以及系统。

背景技术

SQLInject，所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将恶意的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

比如在一个登录界面，要求输入用户名和密码：

可以这样输入实现免帐号登录：

用户名：‘or 1＝1––

密码：

点击登陆，如若没有做特殊处理，那么这个非法用户就很得意的登陆进去了。从理论上说，后台校验程序中会有如下的SQL语句：

String sql＝select*from user_table where username＝

'+userName+'andpassword＝'+password+'；

当输入了上面的用户名和密码，上面的SQL语句变成：

SELECT*FROM user_tableWHERE username＝

”or 1＝1--andpassword＝”

分析SQL语句：

条件后面username＝”or 1＝1用户名等于”或1＝1那么这个条件一定会成功；然后后面加两个--，这意味着注释，让他们不起作用，这样语句永远都能正确执行，用户轻易骗过系统，获取合法身份。

SQL注入可能导致攻击者使用应用程序登陆在数据库中执行命令。如果应用程序使用特权过高的帐户连接到数据库，这种问题会变得很严重。SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编程时的疏忽，通过SQL语句，实现无帐号登录，甚至篡改数据库。

目前业界主要防止网络攻击主要采用SQL预编译处理和用户提交参数验证的方式进行拦截。

目前拦截网络攻击主要存在以下问题：拦截一般采用固定的正则表达式，用户提交了信息就进行验证，能够识别拦截大部分的异常信息，但是对于新出现的异常信息不能及时响应，需要针对新出现的攻击形式进行针对性修改代码、并在发布后才能生效，往往从时间效率上反应不及时。

发明内容

本发明提供的一种SQL注入校验方法、服务器以及系统，主要解决的技术问题是：对于新的SQL注入攻击需要修改代码，并在发布后才能生效，使得处理效率低，反映不及时。

为解决上述技术问题，本发明提供一种SQL注入校验方法，包括：

接收请求终端对目标应用的访问请求，所述访问请求包含用户输入的待校验信息；