[发明专利]SQL防注入方法及装置

说明书

本发明提供了一种SQL防注入方法、装置、电子设备及计算机可读存储介质，其中SQL防注入方法包括：包括：接收用户输入的待查询对象；将待查询对象按照预设转码方式转换为对应的可查询对象；获取用于查询可查询对象的SQL查询语句；在数据库中执行SQL查询语句以查询可查询对象，其中，数据库中的数据为按照预设转码方式转码后的数据。通过对数据库的数据加密，用户输入SQL语句也采用与数据库相同的加密方式进行加密，从而查询加密后的数据库，能够简单有效地防范SQL注入攻击。

技术领域

本发明涉及计算机技术领域，具体涉及一种SQL防注入方法、装置、电子设备及计算机可读存储介质。

背景技术

随着互联网技术的飞速发展，我们身边的各种软件也已经越来越多了起来，各种玲琅满目的网站、app等等，这些都使用了数据库技术来存储数据，随之而来的也有越来越大的风险，其中在数据库使用上SQL(Structured Query Language，结构化查询语言)注入一直是一个需要重点防范的方面。一旦软件能够被SQL注入，那么将面临极大的风险，可能是数据库内容的泄漏，可能是数据库内容被恶意篡改，甚至连数据库被删除都有可能发生。

所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将恶意的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。从SQL注入的本质来看，就是用户输入的数据，在拼接SQL语句的过程中，超越了数据本身，成为了SQL语句查询逻辑的一部分，然后这样被拼接出来的SQL语句被数据库执行，产生了开发者预期之外的动作。

对于SQL注入攻击的防范，常用的第一种方法是输入数据过滤。但是输入数据过滤中对“安全字符”的界定非常困难。所以是不完全解决方法；第二种是屏蔽数据库服务器出错信息，属于攻击实施之后的补救措施，对于绕过用户登录信息验证的攻击无效；第三种是在对用户输入数据实施过滤的基础上，利用一层或多层IDS(Intrusion DetectionSystems，入侵检测系统)特征匹配来系统性的阻止SQL注入攻击。这需要在相应服务器的IDS 中设置SQL注入攻击的特征库，对于本身没有安装IDS的系统不可行。第四种Instruction-Set Randomization(指令集随机化)是利用一个随机化模块将用户传递给数据库服务器的指令集添加一个随机数后缀，再通过一个中间服务器过滤感染的指令集，只把健康的指令集传给数据库服务器，这种方法的自身缺点是无法避免IIS Cross-SiteScripting(交叉注入脚本)攻击，而且布置比较困难。

发明内容

有鉴于此，本发明实施例提供了一种SQL防注入方法、装置、电子设备及计算机可读存储介质，以解决现有技术中不能对SQL注入攻击进行有效防范的问题。

本发明第一方面，提供一种SQL防注入方法，包括：接收用户输入的待查询对象；将待查询对象按照预设转码方式转换为对应的可查询对象；获取用于查询可查询对象的SQL查询语句；在数据库中执行SQL查询语句以查询可查询对象，其中，数据库中的数据为按照预设转码方式转码后的数据。

可选地，将待查询对象按照预设转码方式转换为对应的可查询对象包括：对待查询对象进行多次转码，得到可查询对象。

可选地，对待查询对象进行多次转码，得到可查询对象包括：将待查询对象进行二进制转换得到二进制数据；将二进制数据分为多组数据，并对多组数据进行十进制转换得到多个十进制数据；在预设的字符集中查找与多个十进制数据对应的字符，组成可查询对象。