[发明专利]一种SQL注入攻击防御组件及方法

权利要求书

1.一种SQL注入攻击防御组件，其与一应用服务器相连，其特征在于，该SQL注入攻击防御组件包括：

SQL语句预处理模块，其设置为使应用服务器输出的SQL语句中的所有SQL关键词分别带上预生成的标签；

用户输入参数处理模块，其设置为将用户输入的参数添加到经过所述SQL语句预处理模块处理后的SQL语句中；

注入攻击检测模块，其设置为检测经过所述用户输入参数处理模块处理后的SQL语句中的所有关键字是否均带有合法的标签，合法是指与SQL语句预处理模块中添加的标签一致；

注入检测结果生成模块，其设置为根据所述注入攻击检测模块的检测结果返回相应的信息，若所述注入攻击检测模块检测到SQL语句中的所有关键词均带有合法的标签，则将该SQL语中的标签去除后返回至应用服务器，否则，返回指令错误信息。

2.根据权利要求1所述的SQL注入攻击防御组件，其特征在于，所述SQL语句预处理模块还设置为对应用服务器输出的SQL语句进行复制，以生成至少两条相同的SQL语句，并将复制生成的至少两条SQL语句分别作为子语句拼接成一条组合的SQL语句，然后使所述组合的SQL语句中的所有关键词均带上预生成的标签，其中相同子语句中的关键词带有相同的标签，不同子语句中的关键词带有不同的标签。

3.根据权利要求2所述的SQL注入攻击防御组件，其特征在于，所述注入攻击检测模块还设置为检测所述组合的SQL语句的每条子语句中的标签是否与所述SQL语句预处理模块添加的标签一致，若一致，则所述注入检测结果生成模块选择任意一条子语句并将其中的所有标签去除后返回至应用服务器，否则，返回所述指令错误信息。

4.根据权利要求1所述的SQL注入攻击防御组件，其特征在于，所述预生成的标签随机生成。

5.根据权利要求1所述的SQL注入攻击防御组件，其特征在于，所述预生成的标签根据用户的指纹信息生成。

6.根据权利要求4或5所述的SQL注入攻击防御组件，其特征在于，所述预生成的标签按周期变化。

7.一种SQL注入攻击防御方法，其特征在于，包括以下步骤：

S1，使应用服务器输出的SQL语句中的所有SQL关键词分别带上预生成的标签；

S2，将用户输入的参数添加到经过所述步骤S1处理后的SQL语句中；

S3，检测经过所述步骤S2处理后的SQL语句中的所有关键字是否均带有合法的标签，合法是指与所述步骤S1中添加的标签一致；以及

S4，根据所述步骤S3的检测结果返回相应的信息，若所述步骤S3检测到SQL语句中的所有关键词均带有合法的标签，则将该SQL语中的标签去除后返回至应用服务器，否则，返回指令错误信息。

8.根据权利要求7所述的SQL注入攻击防御方法，其特征在于，所述步骤S1还包括对应用服务器输出的SQL语句进行复制，以生成至少两条相同的SQL语句，并将复制生成的至少两条SQL语句分别作为子语句拼接成一条组合的SQL语句，然后使所述组合的SQL语句中的所有关键词均带上预生成的标签，其中使相同子语句中的关键词带上相同的标签，不同子语句中的关键词带上不同的标签。

9.根据权利要求8所述的SQL注入攻击防御方法，其特征在于，所述步骤S3还包括检测所述组合的SQL语句的每条子语句中的标签是否与所述步骤S1中添加的标签一致，若一致，则所述步骤S4选择任意一条子语句并将其中的标签去除后返回至应用服务器，否则，返回所述指令错误信息。