基于Oracle开发安全的PL/SQL Web应用程序

Web应用模式下,安全是需要考虑的重要问题.本文结合Intranet和Internet两种典型的Web应用模式,从用户与角色管理、权限管理和权限控制三方面,介绍了在Oracle环境下,如何利用PL/SQL网关的基本验证和自定义验证两种方式与数据库安全机制相结合的方法,开发安全的Web应用程序.着重论述了在基本验证方式下,通过数据库自身的权限管理机制来控制用户权限,自定义验证方式下,使用自定义的验证函数来实现权限控制,以及DAD的配置方法.

利用PL/SQL脚本实现Web Service的调用

Web Service是一种跨编程语言和跨操作系统平台的远程调用技术。在某数据验证平台中使用PL/SQL脚本代码,通过原生HTTP的方式来调用Web Service,以便实现在不同业务系统和应用平台中的数据交换。

大规模Web应用的SQL注入攻击威胁检测研究

Web应用程序运行中容易受到SQL常规注入、二阶注入或盲注攻击影响,带来Web系统数据、用户隐私或敏感数据的安全威胁。为降低SQL注入对系统漏洞攻击影响,提出一种用于Web应用程序、服务器端的模糊测试漏洞检测技术,建立了模糊测试的SQL注入漏洞检测模型框架,使用漏洞检测框架的信息收集模块、模糊检测模块,按照关键字编码、大小写混合编码、结构化查询(Structured Query Language,SQL)语句注释、重组绕过等检测流程完成0级、1级、2级漏洞的参数查询和分级检测。最后利用ASP.NET、Microsoft Visual Studio、IIS服务器等软硬件搭建实验环境,对基于模糊测试技术SQL注入漏洞检测模型进行实验论证,仿真实验结果得出:基于模糊测试法的SQL注入漏洞检测模型,相比于程序切片(chopping)技术的Web应用源代码SQL注入攻击检测方法而言,在不同分级漏洞检测中的确认、检测效果更优(达到90%以上)。

浅谈PL/SQL在Web中的应用

介绍了 Oracle Application Server的结构及其开发工具 ,并着重分析利用 PL /SQL实现 Web应用。最后通过实例分析 。

Oracle Web Server和PL/SQL在动态Web中的应用

介绍了实现Web数据库的基本方法，讨论了利用Oracle的服务器选件之一Web Server，结合PL/SQL和相关内置程序包实现动态Web的基本方法，并给出了简单示例。

建立基于PL/SQL的WEB应用研究

在企业信息技术发展研究过程中,通过Internet实现数据信息的动态查询浏览已成为普遍关心的问题,尤其体现在查询信息的高效性上。随着Oracle8i面向Internet计算环境数据库的问世,使其成为一个面向Web信息管理的数据库,从而改变了信息管理和访问的方式。经过摸索,我们通过Oracle Application Server(OAS)实现了基于PL/SQL的WED应用查询示例,这些应用示例充分运用了OAS功能特点,为提高信息查询的高效性,提供了切实可行的应用解决方案。

Oracle Application Server （Oracle应用服务器）及其在我公司中的应用

本文从三层结构程序设计思想出发，详细论述了Oracle Application Server的体系结构，安装配置，工作过程。并讨论了这种技术在企业中的应用前景。最后给出了一个利用PL／SQL PACKAGE建立职工信息查询系统的实例。

基于模型的Web应用二阶SQL注入测试用例集生成

SQL注入漏洞一直以来都是威胁Web应用安全的主要问题之一,其中二阶SQL注入漏洞相较于一阶SQL注入更加隐蔽且威胁更大,对其检测通常依赖于测试人员的先验知识与经验.目前,在缺乏源码信息的黑盒测试场景下,还没有针对该漏洞的有效检测手段.利用基于模型的测试用例生成思想,提出了一种基于客户端行为模型的测试用例集生成方法(CBMTG),用于生成检测Web应用二阶SQL注入漏洞的测试用例集.首先通过初始测试用例集的执行建立迁移与SQL语句的映射关系;然后通过SQL语句的字段分析建立迁移之间的拓扑关系;最后通过拓扑关系来指导最终的测试用例集生成.实验结果表明,本文方法优于当前主流的二阶SQL注入漏洞检测方法.

Web应用SQL注入漏洞检测工具的设计与实现

由于Web应用系统的开发周期较短,同时开发人员安全编程意识不足,Web应用程序会存在漏洞。因此,检测Web应用系统的安全性是安全领域的亟待解决的问题。SQL注入漏洞检测工具模拟黑客攻击的方式,采用网络爬虫技术建立需检测的URL库,依据SQL注入模板精心构造URL,并从根据浏览器返回信息,判定是否存在SQL注入点。可以提前意识到Web应用存在的漏洞,并及时修补,降低系统受攻击的风险,是有效的Web安全防护手段。

基于Chopping的Web应用SQL注入漏洞检测方法

随着Web应用的不断普及,其安全问题越来越显突出,特别是SQL注入漏洞攻击,给用户的安全体验造成了巨大的威胁.针对二阶SQL注入漏洞,本文提出了一种基于chopping技术的二阶SQL注入漏洞检测方法.首先通过对待测应用程序进行chopping,获取到一阶SQL注入疑似路径;然后对一阶SQL注入疑似路径中的SQL语句进行分析,确定二阶SQL注入操作对,进而得到二阶SQL注入疑似路径;最后通过构造攻击向量并运行,确认二阶SQL注入疑似路径中漏洞是否实际存在.实验结果表明,本方法能够有效地检测出二阶SQL注入漏洞.

Web应用程序中SQL注入攻防策略的研究

当前全球进入网络信息一体化时代,网络信息安全问题应运而生。从列举日趋高发的SQL注入攻击事件入手,阐述了SQL注入攻击概念、特点,然后通过一个实例讲解了攻击的一般过程,最后按照从程序开发到应用这个顺序,提出了We b应用程序防御SQL注入攻击的全过程安全策略。

基于Web应用的SQL注入攻击和防御技术研究

结合SQL注入的概念、攻击过程以及攻击方法,阐述了几种防御SQL注入的有效手段,以确保应用系统安全运行。

基于PL/SQL技术的高校网上选课系统数据库优化问题的研究

文章简要介绍了在高校网上选课系统应用PL/SQL对充分发挥Oracle数据库的各项优势起到了重要的作用.探讨了通过分析statspack报告等技术从硬件和软件来优化Oracle数据库系统性能的方法.

基于MicrosoftSQLServer2000的全文搜索功能构建Web搜索应用程序

MicrosoftSQLServer2000的全文搜索功能，可以对在非结构化文本数据上生成的索引执行快速、灵活的查询。本文介绍了如何充分利用使用MicrosoftSQLServer2000的全文搜索功能，可以快速实现一个简单、功能强大的Web搜索应用程序。

SQL Server存储过程在WEB技术中的应用

在WEB应用系统中经常要处理大量数据,因此WEB服务器就要经常响应大量数据请求。数据查询和更新操作的效率通常成为制约WEB应用系统性能的因素。在WEB软件开发过程中应用存储过程能较好的解决数据查询、更新操作效率低的问题。同时存储过程的应用对软件的安全性、软件的复用性和软件开发效率等方面都具有影响。该文探讨了SQL Server数据库存储过程的应用优势,最后基于ASP技术实现了一个应用实例。

基于ECA规则和动态污点分析的SQL注入攻击在线检测

SQL注入攻击是一种常见的针对Web应用程序漏洞的攻击形式。任何形式的SQL注入攻击最终都会改变原有SQL语句的逻辑结构,违背设计者的初衷。现有的SQL注入攻击检测方法存在检测代码不易被重用、不能被在线注入Web应用程序等不足。因此,提出一种基于ECA(Event Condition Action)规则和动态污点分析的在线检测SQL注入攻击的模型。首先,定义污点标记规则监视污点源函数以标记系统外部引入数据;然后,定义污点传播规则实时跟踪污点数据在应用内部的流向;接着,定义污点检查规则以拦截污点汇聚点函数的参数,并解析它可能携带的污点状态;最后,在原始的Web应用运行时加载ECA规则脚本达到在线检测SQL注入攻击的目的,Web应用无须重新编译、打包和部署。使用Byteman实现了所提模型。在两个不同的Web应用测试实验中,该模型可以识别绝大多数的SQL注入攻击样本,对于正常请求样本没有误报,检测准确率可达99.42%,优于基于支持向量机(SVM)和基于词频逆向文件频率(TF-IDF)的方法;与基于面向方面编程(AOP)的方法相比,该模型易于在Web应用启动后在线加载检测模块。实验结果表明所提模型能够在不修改应用程序执行引擎及源码的情况下,检测6种常见的SQL注入攻击类型,且具有在线检测的优点。

Web应用SQL注入漏洞分析及防御研究

基于Web的互联网应用蓬勃发展。Web应用在每个人的日常生活中扮演着重要的角色,积聚了大量的用户信息和数据,引起了黑客们的广泛关注。这使得Web应用的安全形势日渐严峻。保障Web应用程序和用户数据安全关系重大,本文对存在范围广、威胁程度高的SQL注入攻击进行了论述,分析了SQL注入攻击的机理及可能造成的危害,探讨了发现SQL注入攻击的方法以及如何实施防御措施,以期为Web应用安全性能的提升、为开发人员、网络安全工作者提供参考。

浅析Web应用程序中SQL注入攻击与防御

结合Web应用程序开发实际,简要介绍了SQL注入攻击的原理、实现过程,并提出一些相应的防范措施。

基于J2EE应用的SQL注入分析与防范

为了对基于J2EE应用的SQL注入漏洞进行有效发现和防范,在总结SQL注入原理的基础上,通过SQL注入攻击过程分析了可能造成的破坏,通过黑盒测试和白盒测试有效发现J2EE应用中存在的SQL注入漏洞,使用屏蔽出错信息、分配最小权限、参数化查询、输入验证及输入转义相结合的防范方法,可有效防御SQL注入攻击威胁,具有较高的实用性和安全性。