學(xué)習(xí)目標(biāo)：知識目標(biāo)技能目標(biāo)態(tài)度目標(biāo)能夠熟練配置數(shù)據(jù)庫能夠掌握注入攻擊的特征能夠靈活判斷數(shù)據(jù)庫的各種狀態(tài)能解決配置過程中出現(xiàn)的問題培養(yǎng)認(rèn)真細(xì)致的工作態(tài)度和工作作風(fēng)養(yǎng)成刻苦、勤奮、好問、獨立思考和細(xì)心檢查的學(xué)習(xí)習(xí)慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學(xué)能力，分析問題、解決問題能力和創(chuàng)新的能力了解數(shù)據(jù)庫的基本知識了解數(shù)據(jù)庫安全防護(hù)的必要性掌握注入式攻擊的原理掌握數(shù)據(jù)庫系統(tǒng)安全策略8.1任務(wù)概述新天教育培訓(xùn)集團(tuán)在持續(xù)運(yùn)營一段時間后，服務(wù)器都增加了大量的資料和數(shù)據(jù)。這些數(shù)據(jù)統(tǒng)一由數(shù)據(jù)庫軟件進(jìn)行管理。但是新天教育部門主管擔(dān)心這些數(shù)據(jù)容易受到外部攻擊，特別是通過數(shù)據(jù)庫進(jìn)行攻擊。為此，新天教育培訓(xùn)集團(tuán)需要有效的安全防護(hù)手段。唐宇經(jīng)過憑借所學(xué)的知識他馬上想到了要滿足以上要求需要針對數(shù)據(jù)庫進(jìn)行安全配置。8.2情境描述配置的流程怎樣？了解數(shù)據(jù)庫注入的成因？什么是注入攻擊？知道數(shù)據(jù)庫注入的類型？12348.3任務(wù)分析任務(wù)8-2SQL注入攻擊 SQL注入是指攻擊者通過注入惡意的SQL命令，破壞SQL查詢語句的結(jié)構(gòu)，從而達(dá)到執(zhí)行惡意SQL語句的目的。SQL注入漏洞仍是目前比較常見的Web漏洞之一。1.SQL注入的成因SQL注入的產(chǎn)生其實是應(yīng)用程序?qū)τ脩敉ㄟ^瀏覽器提交的變量內(nèi)容沒有進(jìn)行檢查和過濾，直接查詢數(shù)據(jù)庫，導(dǎo)致返回數(shù)據(jù)庫中其他內(nèi)容。樣例如圖8-3-1所示。假設(shè)數(shù)據(jù)庫中有個名為customers的表，該表中存儲id號、用戶名、密碼等。（轉(zhuǎn)下頁）子任務(wù)8-2-1SQL注入概述任務(wù)8-2SQL注入攻擊 樣例如圖8-3-1所示。假設(shè)數(shù)據(jù)庫中有個名為customers的表，該表中存儲id號、用戶名、密碼等。子任務(wù)8-2-1SQL注入概述圖8-3-1注入過程示意圖任務(wù)8-2SQL注入攻擊 子任務(wù)8-2-1SQL注入概述圖中各序號所代表的含義如下所示。1

構(gòu)造測試語句。在瀏覽器地址欄中輸入http://IP地址/?id=1and1=22Web應(yīng)用收到語句請求后，沒有對id參數(shù)進(jìn)行過濾3

數(shù)據(jù)庫會收到“selectname，passwordfromcustomerswhereid=1and1=2”的查詢請求，簡單起見，也可以是select*fromcustomerswhereid=1and1=24

數(shù)據(jù)庫服務(wù)器返回該語句的查詢結(jié)果5Web應(yīng)用服務(wù)器將后臺數(shù)據(jù)庫服務(wù)器的處理結(jié)果返回給測試用戶6測試用戶獲取相應(yīng)信息任務(wù)8-2SQL注入攻擊 2.SQL注入的類型SQL注入常見分類方式主要有三種種，一種是根據(jù)注入點類型來分類，另一種是根據(jù)數(shù)據(jù)提交方式來分類，還有一種是根據(jù)執(zhí)行效果來分類。（1）根據(jù)注入點類型劃分具體情況如表所示。子任務(wù)8-2-1SQL注入概述任務(wù)8-2SQL注入攻擊 （2）根據(jù)數(shù)據(jù)提交方式劃分具體情況如表所示。子任務(wù)8-2-1SQL注入概述任務(wù)8-2SQL注入攻擊 （3）根據(jù)執(zhí)行效果劃分具體情況如表所示。子任務(wù)8-2-1SQL注入概述任務(wù)8-2SQL注入攻擊 4.SQL注入的危害SQL注入攻擊是黑客對數(shù)據(jù)庫進(jìn)行攻擊的常用手段之一。隨著B/S模式應(yīng)用開發(fā)的發(fā)展，使用這種模式編寫應(yīng)用程序的程序員越來越多。但是由于程序員的水平及經(jīng)驗也參差不齊，在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)