毕业设计（论文）开题报告Web环境下SQL注入攻击与防御的研究.doc

《毕业设计（论文）开题报告Web环境下SQL注入攻击与防御的研究.doc》由会员分享，可在线阅读，更多相关《毕业设计（论文）开题报告Web环境下SQL注入攻击与防御的研究.doc（14页珍藏版）》请在三一办公上搜索。

1、贵州民族学院 计算机与信息工程学院 2008级毕业论文（设计）任务书毕业论文（设计）题目：Web环境下SQL注入攻击与防御研究毕业论文（设计）工作内容： 研究Web环境下SQL注入的起因，发展过程、SQL注入风险、和防御体系应该注意的技术和方法，从程序员、管理员、攻击者角度来研究SQL注入和防御。其它们在Web应用安全的重要性。n 指导教师： 龚琪 （签名）2012 年 3 月15 日n 教研室主任： （签名） 年 月 日n 学院院长： （签名） 年 月 日学生姓名：周波 专业：计算机科学与技术 指导教：龚 琪贵州民族学院本科毕业论文（设计）开题报告 论文题目_Web环境下SQL注入攻击与防御

2、研究 系 别：计算机与信息工程学院 专 业：计算机科学与技术 班 级： 2008级 姓 名： 周 波 学 号：200810020042 指导教师： 龚 琪 填表日期：2012年3月8日二0一0 年 03月 说 明1、 毕业设计的开题报告是保证毕业设计质量的一个重要环节，为规范毕业设计的开题报告，特印发此表。2、 学生应在开题报告前，通过调研和资料搜集，主动与指导教师讨论，在指导教师的指导下，完成开题报告。3、 此表一式二份，交学院装入毕业设计（论文）档案袋。4、 开题报告需经指导教师、院（系）领导审查合格后，方可正式进入下一步毕业设计（论文）阶段。5、 理工类不得少于10篇，其他专业类不少于1

3、5篇相关文章的阅读量。6、 开题报告撰写不少于1000字。研究的现状：国内对SQL注入攻击研究主要包括SQL注入攻击的原理和SQ注入攻击的关键技术。国内对SQL注入的检测与防范的研究主要集中于以下几个方面：1. 提出各种各样的防范模型，如在客服端和服务器端进行检测的SQL注入攻击检测、防御、备案模型。2. 在服务器端正式处理之前对提交数据进行合法性检查。3. 屏蔽出错信息，这样攻击者就不能从错误中获取关于数据库的信息。4. 对Web服务器进行安全设置，如去掉Web服务器上默认的一些危险命令。5. 不用字符串连接建立SQL查询，用存储过程编写代码减少攻击。6. 对包含敏感信息的数据加密，如在数据

4、库中对加密密码存储等。国内对SQL注入漏洞检测的研究还很少，大多数还停留在攻击工具的层面上，很少将注入工具用于网站安全检测。国外学者对SQL注入检测与防范领域一般分为两大类。1. 漏洞识别(漏洞检测)：这类防范主要研究识别应用程序中能导致SQL注入攻击的漏洞位置。2. 攻击防御：这类方法可以进一步分为编码机制和防御机制。编码机制是一种很好实践的防范方法。SQL注入攻击产生的根本原因在于没有足够的验证机制，因而从编码方面防范攻击有很好的理论基础防御机制包括：黑盒测试法、静态代码检测器、结合静态和动态的分析方法、新查询开发范例、入侵检测系统、代理过滤、指令集随机化方法、动态检测方法等。研究目的和意

5、义：SQL注入攻击存在于大多数访问了数据库且带有参数的动态网页中，SQL注入攻击相当隐秘，表面上看与正常的Web访问没有区别，不易被发现，但是SQL注入攻击潜在的发生概率相对于其他Web攻击要高得多，危害面也更广。其主要危害包括：获取系统控制权、未经授权状态下操作数据库的数据、恶意篡改网页内容、私自添加账号或数据库使用者账号等。现在流行的数据库管理系统都有一些工具盒功能组件，可以直接与操作系统及网络进行连接。当攻击者通过SQL注入攻击一个数据库系统，去危害就不只局限于存储在数据库中数据，攻击者还可以设法获得对DBMS所有的主机进行交互式访问，使其危害从数据库向操作系统、甚至整个网络蔓延。因此，

6、我不仅应当将SQL注入攻击看作是一个对存储在数据库上数据的威胁，而应当看作是对整个网络的威胁。研究内容(内容、结构框架以及重点、难点)：研究内容：1 完成了对Web坏境的相关技术和理论研究2 给出了SQL注入攻击的防御策略及方法 结构框架：第一章：绪论，给出了论文选题背景及选题意义，介绍了课题研究背景、研究意义，国内外研究现状，并对该论文的结构作简要说明。第二章： Web工作原理与SQL数据库。介绍了Web工作原理、通信方式与应用架构，SQL查询语言的简单介绍及SQL注入的定义、特征、危害、攻击的成因，为理解SQL注入的生成过程提供一些背景知识第三章：SQL注入攻击测试。SQL注入的定义、特征

7、、危害、攻击的成因，为理解SQL注入的生成过程提供一些背景知识第四章：SQL注入的实现。根据SQL注入攻击的步骤说明了一般的攻击技巧，并给出案例分析。第五章： SQL注入攻击防御。针对SQL注入攻击提出防御策略。重点：理解Web工作原理，SQL注入成因、原理及常用攻击技术和一般防御策略。难点：SQL注入攻击的隐蔽性较强，防御体系难以对SQL各种攻击提供良好的防御。研究方法、手段：1、借鉴法：利用现有的书籍、代码和文献，对Web环境下SQL注入攻击和防御有一个认知，；简化研究过程，抓住重点和难点，做到有的放矢；2、举例法：列举各种SQL注入攻击的一般性例子，以说明各种攻击的特性，以及在构建Web

8、应用时防御策略提供方法。3、对比法：对各种SQL注入攻击和防御之间特。性进行比较4、实验法：对攻击过程进行系统模拟。5、归纳法：通过对各种攻击和防御验的证，总结出现在SQL注入攻击和防御的变化方向和应用价值；研究进度： 2011年12月8日12月15日 确定选题、收集相关资料 2011年12月16日12月30日 收集资料，开展研究，形成写作提纲 2012年1月25日3月16日 撰写开题报告与开题 2012年3月17日5月10日 深入研究，形成论文初稿 2012年5月11日6月10日 论文修改、定稿、打印、答辩主要参考文献：1 SQL注入攻击与防御 （美）克拉克（Clarke,J）等著 黄晓磊

9、李化 译清华大学出版社2 计算机网络工程5 谢希仁著 电子工业出版社3 Web程序设计5 （美）Robert.Sebesta 著 徐燕华 孙红利 译 清华大学出版社5 SQL Server 2008实战 （美） Joseph Sack 著 金迎春 译 人们邮电出版社 6 web安全测试 （美）霍普 等 著 傅鑫 等 译7 Web入侵安全测试与对策 (美) 安德鲁 清华大学出版社8 黑客攻防技术宝典：Web 实战篇 (英)Dafydd Stuttard Marcus Pinto 人民邮电出版社9 数据库应用系统开发实例 曹洪根，丁勇主编 清华大学出版社10 数据库系统概论 萨师煊，王珊高等教育出

10、版社11 ASP.NET项目开发指南 丁士锋 蔡平 清华大学出版社指导教师意见： 签字： 年 月 日系审查意见： 签字： 年 月 日备注：毕业论文（设计）指导教师意见表学生姓名 周波指导教师 龚琪职 称 副教授论文题目：Web环境下SQL注入攻击与防御研究指导过程记录2011.11.30 与学生交流论文所涉及的知识范畴及论文框架，布置学生查资料，以确定是否选择该论文。2011.12.7 确定学生及论文题，并讲解论文格式要求及内容架构。给出论文范式，要求学生认真研究，按规范准备论文。2011.12.21 讨论开题报告的相关内容。2011.12.28 与学生讨论论文涉及的知识及查找资料问题。201

11、2.1.5 布置假期工作及讨论开题报告的内容。2012.3.5 讨论开题报告的内容及修改意见。2012.3.12 开题报告定稿。2012.3.19 讨论论文。2012.3 26 讨论论文。2012.4.9 布置论文修改工作。2012.4.16 进一步讨论论文。系别：计信学院 专业：计算机科学与技术 年级：2008级 评语：评分： 签字： 年 月 日备注：毕业论文（设计）评阅教师意见表学生姓名 周波评阅教师职 称论文题目：Web环境下SQL注入攻击与防御研究评语： 评分： 签字： 年 月 日备注：系别：计信学院 专业：计算机科学与技术 年级：2008贵州民族学院 系别：计算机与信息工程学院 年级：2008级毕业论文（设计）答辩记录表论文（设计）题目：Web环境下SQL注入攻击与防御研究答辩内容：学生介绍论文时间： 分钟 问答时间： 分钟答辩组人数： 组长姓名： 秘书签字： 年 月 日学生姓名：周波 专业：计算机科学与技术 指导教师：龚 琪毕业论文（设计）答辩委员会意见：成绩：答辩委员会主席：年 月 日毕业论文（设计）最终成绩： 系领导签字： 年 月 日备注：