[发明专利]一种SQL注入防御的方法和系统有效
| 申请号: | 201310296901.5 | 申请日: | 2013-07-16 |
| 公开(公告)号: | CN103338208A | 公开(公告)日: | 2013-10-02 |
| 发明(设计)人: | 王志强 | 申请(专利权)人: | 五八同城信息技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京律恒立业知识产权代理事务所(特殊普通合伙) 11416 | 代理人: | 顾珊;蔡艳园 |
| 地址: | 300457 天津市滨海新区第一*** | 国省代码: | 天津;12 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 sql 注入 防御 方法 系统 | ||
1.一种针对数据库的SQL注入防御的方法,所述方法包括如下步骤:
(a)接收来自应用系统发出的访问数据库的SQL语句;
(b)对SQL语句进行注入判断和检查,若发现SQL注入,则对该SQL注入进行拦截,记录错误,并向所述应用系统返回异常消息;若发现并非为SQL注入,则查询出该SQL语句所需要访问的相应数据库操作的接口规范,拼接出符合该数据库操作接口规范的SQL语句;
(c)将步骤(b)拼接出的规范的SQL语句发送到相应的数据库进行数据库操作;和
(d)将查询后的结果返回给应用系统。
2.如权利要求1所述的方法,其中所述应用系统是客户端/服务器或浏览器/服务器模式。
3.如权利要求1所述的方法,其中所述应用系统是客户端/服务器或浏览器/服务器模式。
4.如权利要求1所述的方法,其中为所述应用系统提供的数据库操作类型包括选择、插入、更新和删除。
5.如权利要求1所述的方法,其中所述数据库操作的接口规范包括数据库操作接口所接受的数据库、表、合法语法格式。
6.如权利要求1所述的方法,其中所述对SQL语句进行注入判断和检查基于如下规范:(a)当前数据库操作接口允许操作的数据库、表;(b)当前数据库操作接口的子句中的语法规则;以及(c)当前数据库操作接口的子句中的语义规则。
7.如权利要求6所述的方法,其中所述规范(b)中的语法规则是将SQL子句转化成转码字符的序列从而构造语法转码表。
8.如权利要求7所述的方法,其中对所述转换码后的字符进行逐字符的扫描以判断是否为SQL注入。
9.如权利要求8所述的方法,其中判断所扫描的字符是否是数字、单引号、双引号、关键字符或空格中的任意一者。
10.如权利要求1所述的方法,其中所述步骤(b)的拼接是针对选择、插入、更新和删除四种数据库操作分别进行的拼接。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于五八同城信息技术有限公司,未经五八同城信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201310296901.5/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种防霉抑菌的儿童服装
- 下一篇:全手卷雪茄烟支切刀装置
