[发明专利]一种数据库的数据处理方法和系统

说明书

本发明实施例公开了一种数据库的数据处理方法和系统。本实施例采用破坏SQL关键词在SQL语句中的语法含义来对SQL指令进行预处理，然后才根据该预处理后SQL指令所需参数生成SQL指令，并根据SQL指令进行数据库的数据处理，从而使得即便执行了遗漏SQL转义步骤而构造出的SQL指令时，也会因为SQL语法错误而无法执行，避免产生信息泄漏等危害；而对于不包含SQL关键词的SQL指令所需参数，也不受流程的任何影响，即使执行了漏掉SQL转义步骤而构造的SQL指令，也不会因为产生可执行命令而导致信息泄漏或影响到内容展示和用户阅读效果等后果。

技术领域

本发明涉及通信技术领域，具体涉及一种数据库的数据处理方法和系统。背景技术

随着信息技术的发展，数据库的作用也越发显得重要，如何保护数据库中信息的安全，一直是人们所关注的问题。结构化查询语言（SQL，Structured Query Language）注入攻击是黑客对数据库进行攻击的常用手段之一，其中，SQL是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统。SQL注入攻击，指的是在输入参数的字符串之中注入SQL指令，使得其能够在设计不良的程序当中被忽略检查，从而使得这些注入的SQL指令能够被数据库服务器误认为是正常的SQL指令而运行，最终致使数据库信息泄漏等严重后果的攻击行为。

针对SQL注入攻击，现有技术主要采用保护方法有：（1）动态拼接SQL语句的时候将参数值进行SQL转义，避免构造出恶意SQL语句；（2）对已经拼接好的SQL语句做语法分析，通过相应算法检测来推测当前SQL语句是否恶意；（3）针对网页（web）请求参数值强行替换单个单引号为连续两个单引号，再直接进行SQL转义。（4）使用存储过程或第三方中间语言。

在对现有技术的研究和实践过程中，本发明的发明人发现，现有的几种保护方法虽然在一定程度上可以避免SQL注入攻击，但是其保护效果并不是很好，可能会因为遗漏SQL转义步骤而产生可执行命令，从而导致信息泄漏等后果，而且可能会影响到内容展示和用户阅读效果。

发明内容

本发明实施例提供一种数据库的数据处理方法和系统，可以有效地避免SQL注入攻击，提高对数据库的保护效果，而且，不会影响到内容展示和用户阅读效果。

一种数据库的数据处理方法，包括：

接收数据库数据处理请求，根据所述数据库数据处理请求获取SQL指令所需参数；

对所述SQL指令所需参数进行SQL关键词识别和预处理，得到预处理后SQL指令所需参数，所述预处理包括破坏SQL关键词在SQL语句中的语法含义的处理；

根据所述预处理后SQL指令所需参数生成SQL指令，并根据所述SQL指令进行数据库的数据处理。

可选的，其中，所述对所述SQL指令所需参数进行SQL关键词识别和预处理，得到预处理后SQL指令所需参数，所述预处理包括破坏SQL关键词在SQL语句中的语法含义的处理，可以包括：

对所述SQL指令所需参数进行SQL关键词识别；对识别出的SQL关键词进行SQL关键词尾部拼接私有万国码字符的替换处理，得到预处理后SQL指令所需参数；或者，对识别出的SQL关键词进行SQL关键词头部拼接私有万国码字符的替换处理，得到预处理后SQL指令所需参数。

可选的，其中，所述对所述SQL指令所需参数进行SQL关键词识别，可以包括：

对所述SQL指令所需参数进行SQL关键词匹配，得到匹配后SQL关键词；根据SQL关键词在SQL语句中的语法对匹配后SQL关键词进行检查，得到符合语法的SQL关键词。

可选的，所述根据所述预处理后SQL指令所需参数生成SQL指令，并根据所述SQL指令进行数据库的数据处理，可以包括：