专题:面对灾害,力保业务不中断和   第7届中国保险行业信息化建设高层研讨会专题  聚焦: 安全释放应用活力-08春季安全巡展  “投资”安全    编辑推荐:  非常时期如何确保Web安全？   安全服务：We are ready！

   【CNW.com.cn 专稿】从“512大地震”以来，互联网上的攻击程序出现激增。不少安全专家表示，目前来看，利用系统漏洞，实施SQL注入攻击成为了当前的主流。不少安全专家表示，目前不排除黑客下一步还会有更为激烈的动作，因此用户需要采取相关防范措施。
    第一，对于网站管理员，请检查IIS信息服务器中ASP配置和SQL Server/My SQL数据库配置的安全性，尽量从源头堵住SQL注入攻击的漏洞。
    第二，对于企业上网用户，请使用相关Web 网关安全防护产品。需要指出的是，一些提供Web信誉服务功能的产品可以在安装之后拦截恶意链接。
    第三，对于个人上网用户，需要安装相应的反病毒软件，有条件的，最好配合主机防火墙或防入侵软件一起使用。另外，近期不少安全厂商都推出了免费下载桌面反病毒软件的活动，用户可以把握机会，尽早实现安全防护。

    【CNW.com.cn 专稿】   SQL注入的攻击原理是利用程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，导致入侵者可以通过恶意SQL命令的执行，获得数据读取和修改的权限。攻击者成功进行SQL注入后，会拥有整个系统的最高权限，可以修改页面、数据，在网页中添加恶意代码，危害极大。

SQL注入攻击具有如下特点：

      变种极多，有经验的攻击者会手动调整攻击参数，致使攻击数据的变种是不可枚举的，这导致传统的特征匹配检测方法仅能识别相当少的攻击，难以防范。

      攻击过程简单，目前互联网上流行众多的SQL注入攻击工具，攻击者借助这些工具可很快对目标WEB系统实施攻击和破坏。

     危害大，由于WEB编程语言自身的缺陷以及具有安全编程能力的开发人员少之又少，大多数WEB业务系统均具有被SQL注入攻击的可能。而攻击者一旦攻击成功，可以对控制整个WEB业务系统，对数据做任意的修改，破坏力达到及至 。

　　许多网站程序在编写时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码（一般是在浏览器地址栏进行,通过正常的www端口访问），根据程序返回的结果，获得某些想得知的数据，这就是所谓的SQL Injection，即SQL注入。

　SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序，对网站和访问该网站的网友都带来巨大危害。