一种新的反sql注入策略的研究与实现

sql注入是一种常用的且易于实施的攻击手段，对网络应用程序的安全构成严重威胁。本文提出并实现了一种新的反sql注入策略：sql语法预分析策略。该策略首先将sql注入分类，并抽象出各类注入的语法结构；然后将用户输入预先组装成完整的sqi。语句，对该语句进行语法分析，如果发现具有sql注入特征的语法结构，则判定为sql注入攻击。策略的实现不需要修改已有的应用程序代码，也不需要修改任何服务器平台软件。实验表明，新的策略具有极好的sql注入识别能力，并成功地避免了传统的特征字符串匹配策略固有的高识别率和低误判率之