全文总字数：1850字

1. 研究目的与意义及国内外研究现状

毋庸置疑，近年计算机网络发展迅猛，网络信息安全也随之严重，因此采取各种措施和方法去保护系统安全是非常必要的。此前我们只关注计算机系统自身的漏洞问题，一般会采用杀毒软件、防火墙去保护其系统安全。在这期间，Web应用网站发展成为了一类特殊的计算机系统，Web技术日渐成熟，Web应用平台在电子商务、个人论坛方面广泛建立，很大的改变了人们的购物、社交方式，当然，越是流行，在线安全越是面临着强势的挑战，更加严重的安全问题也就备受关注。论文主要通过本地实验展示SQL注入漏洞的检测方法，分析SQL注入漏洞产生原因，并设计出基于正则表达式的SQL注入过滤模块及进行测试。

国内外研究现状

从以历史安全事件说来，Web攻击者利用各种攻击手段和方式将一个线上网站攻陷，在获取到相应权限的网页中插入恶意构造的代码，达到攻击的目的。由于Web网站暴露在日渐严峻的网络环境中，因此在遭受攻击之前发现本身的漏洞并及时将其修复，才能尽可能的保证Web网站的正常运行。下面对Web网站安全的国内外研究现状进行阐述：国际方面：在渗透领域美国遥遥领先，信息战率先打开，渗透测试日渐趋于成熟，OWASP即为开源渗透测试方法的一哥体系标准。根据OWASP提供的报告，目前对Web网站系统威胁严重的依然是SQL注入攻击（SQL Injection）。攻击者在SQL注入成功后，在经过不断地提权，很可能拥有整个系统的最高权限，可以任意修改页面，插入恶意代码，查看数据库并将其拖入本地，造成严重的信息泄露。国内方面：国内安全厂商开发自己的安全产品，如绿盟科技、启明星辰等，产品如WAF（Web应用防火墙）；各白帽子活跃在SRC平台，如乌云、漏洞盒子等；定期会有一些安全会议，如世界互联网大会（乌镇）。

2. 研究的基本内容

对网站模块的SQL注入实验，分别对Web应用中最易受到攻击的各模块，以“我做什么操作该显示什么结果”的理念进行直观的注入演示。传统的SQL注入的防御方式，对SQL防御方式的介绍，包括网站开发中代码层的数据过滤和Web服务器的正确配置。基于正则表达式的SQL过滤模块的设计，本章为论文的主体，通过对传统的过滤方式的缺陷的概述，提出基于正则表达式的SQL注入模块。在对注入点的分析上，除了传统检测GET和POST植入点还将cookie值也加入检测点。以流程图的形式给出了过滤模块的设计思路，对核心过滤代码进行详细解释，并通过实验检测该模块对SQL语句的拦截效果，根据结果分析不足及改进，最后提出一些在网站设计中的一些做法来降低SQL注入发生的风险。

3. 实施方案、进度安排及预期效果

实施方案：本文主要研究了在Web应用开发的一些模块中易出现的SQL漏洞进行挖掘，首先以惯用的关键字注入与检测进行注入，研究SQL注入的攻击行为及语法特征，在传统的防御方式的基础上提出采用正则表达式对输入数据进行过滤拦截的方式，基于此设计出Web服务端SQL注入攻击过滤模块，增强系统的安全性。进度安排：2015.12 查阅资料完成任务书2016.01 开题报告的撰写2016.02 对SQL注入重点内容进行学习2016.03-04 完成整体代码及模块的设计2016.05 测试并优化模块2016.06 完成论文答辩预期效果：当我们在网站搜索框中输入数据，过滤模块对所输入的内容进行检测，当该输入为模块中的过滤语句，访问被拦截，并向用户发送警告其为非法输入。同时，在服务端对本次攻击进行记录，记录内容包括入侵IP、入侵时间、提交方式和提交数据，至此，一个SQL注入拦截完成。

4. 参考文献

[1][美]Justin Clarke著，SQL Injection Attacks and Defense,Second Edition,施宏斌 叶愫 译 ，清华大学出版社，2015,6[2] 传智播客高教产品研发部，PHP网站开发实例教程，中国工信出版集团、人民邮电出版社，2015,9[3] 张卓，上海交通大学，SQL注入攻击技术及防范措施研究[4] 刘文晋，北京交通大学，远程渗透测试中的SQL注入攻击技术研究[5] 钟晨鸣、徐少培著，Web前端黑客技术揭秘，电子工业出版社，2013,7[6] 邱永华著，XSS跨站脚本攻击剖析与防御，人民邮电出版社，2013,9