一种新的sql注入防护方法的研究与实现

当前wcb应用安全问题日益严峻，而sqi、注入是针对wcb应用最为普遍的攻击手段之一。文中提出了一种新的sql注入防护方法。该方法通过将静态模式匹配与动态特征过滤配合使用，避免单一方法存在的不足，从而达到良好的效果。该方法通过在安全环境下自动学习所有合法sql语句，构建知识库;然后在实时工作环境下，利用模式匹配算法将sqi、语句与知识库进行匹配，匹配成功则判定为合法sqi语句。对于匹配失败的sqi、语句并不立即判定为非法，而是采用基于风险值的动态特征过滤算法进行深度特征检查，识别真正的非法sql语句。基于本方法，设计并实现了一个原型系统。测试结果表明，该原型系统具有较好的性能优势，并能够很好地解决一般防注入方法带来的准确率与误报率之间的矛盾。