一种新的SQL注入防护方法的研究与实现

当前Wcb应用安全问题日益严峻,而SQI、注入是针对Wcb应用最为普遍的攻击手段之一。文中提出了一 种新的SQL注入防护方法。该方法通过将静态模式匹配与动态特征过滤配合使用,避免单一方法存在的不足,从而 达到良好的效果。该方法通过在安全环境下自动学习所有合法SQL语句,构建知识库;然后在实时工作环境下,利用 模式匹配算法将SQI、语句与知识库进行匹配,匹配成功则判定为合法SQI语句。对于匹配失败的SQI、语句并不立 即判定为非法,而是采用基于风险值的动态特征过滤算法进行深度特征检查,识别真正的非法SQL语句。基于本方 法,设计并实现了一个原型系统。测试结果表明,该原型系统具有较好的性能优势,并能够很好地解决一般防注入方 法带来的准确率与误报率之间的矛盾。