基于SQL注入攻擊的網(wǎng)絡(luò)脆弱性分析及對(duì)策研究

基于SQL注入攻擊的網(wǎng)絡(luò)脆弱性分析及對(duì)策研究摘要本文針對(duì)SQL在具體的運(yùn)營(yíng)和實(shí)施過(guò)程中，存在的一系列的問(wèn)題，研究SQL注入的原理及注入的一般步驟，并且在對(duì)一系列的問(wèn)題進(jìn)行系統(tǒng)性的研究和管理的前提之下，最大程度的實(shí)現(xiàn)整個(gè)事宜在實(shí)際的經(jīng)營(yíng)和具體的管理過(guò)程中的相關(guān)的解決方案和實(shí)施辦法。主要研究?jī)?nèi)容如下:（1）詳細(xì)介紹SQL注入的一般步驟，對(duì)網(wǎng)絡(luò)在具體的運(yùn)營(yíng)和實(shí)際的實(shí)施過(guò)程中存在的乙烯利的問(wèn)題做出了系統(tǒng)性的說(shuō)明和管理。（2）在具體的研究過(guò)程中，不僅僅是從其實(shí)用性的層面上，同時(shí)也從其研發(fā)的角度上進(jìn)行了系統(tǒng)的研究和分析，在具體的研究過(guò)程中，關(guān)注的更多的是其實(shí)用性以及其在具體的發(fā)展過(guò)程中的系統(tǒng)性的諸多特征的實(shí)施和形成。首先分析了目前在這一問(wèn)題的研究過(guò)程中，最為重要的掃描工具以及其相關(guān)的研究工具，接著在具體的掃描過(guò)程中，涉及到的產(chǎn)品的脆弱性以及其在具體的實(shí)施過(guò)程中的亟待完善和解決的問(wèn)題做出了系統(tǒng)的說(shuō)明和管理，而且在對(duì)于產(chǎn)品在具體的研究過(guò)程中，對(duì)于如何最大程度的實(shí)現(xiàn)對(duì)產(chǎn)品的較為準(zhǔn)確的測(cè)評(píng)，做出了系統(tǒng)的說(shuō)明和管理，這一點(diǎn)在具體的經(jīng)營(yíng)和實(shí)施的過(guò)程中，發(fā)揮的綜合作用是尤為重大的，也是在實(shí)際的經(jīng)營(yíng)過(guò)程中，需要加強(qiáng)關(guān)注和重視的問(wèn)題。最后在文章的結(jié)尾，針對(duì)于目前存在的這一系列的問(wèn)題，如何最大程度的予以較好的管理和解決實(shí)施，給出了較為系統(tǒng)化的指導(dǎo)建議和意見(jiàn)，以期實(shí)現(xiàn)在具體的管理過(guò)程中，不管是從哪個(gè)層面上，都能夠產(chǎn)生較好的發(fā)展成效，這一點(diǎn)是尤為重要的，也是在具體的SQL在具體的執(zhí)行過(guò)程中，需要加強(qiáng)關(guān)注和重視的問(wèn)題。關(guān)鍵詞：網(wǎng)絡(luò)安全；脆弱性分析；SQL注入

AbstractInthispaper,westudytheprincipleofSQLinjectionandthegeneralstepsofinjection,aimingattheproblemsofSQLinjectionattacks,andonthisbasis,wefurtherstudythemethodsofvulnerabilitydetectionandpreventionofSQLinjection.Themainresearchcontentsareasfollows:(1)thegeneralstepsofSQLinjectionareintroducedindetail,andtheclassificationofnetworkvulnerabilityisdescribedindetail.(2)thispaperfocusesonthediscussionofvulnerabilityfromtheperspectiveofpracticalityandproductdevelopment.Firstly,theadvantagesanddisadvantagesofthecurrentpopularvulnerabilityscanningtoolsareanalyzed,andthenthetechnicalrequirementsandevaluationmethodsofvulnerabilityscanningproductsaredescribedindetail.Intheend,thepaperpresentstheapplicationofthepenetrationtestingmethodintheprocessofvulnerabilitytesting.(3)toprovideawaytopreventSQLinjectionattacks,changedthepasttoguardagainstresearchandpreventivemeasuresofpassivedefense,sothatsecuritydefensehasamoretargeted.Databaseandoperatingsystemtoimprovetheabilitytoattack,databaseandoperatingsystemmoresecure.Keywords:networksecurity;vulnerabilityanalysis;SQLinjection

目錄TOC\o"1-3"\h\u1緒論 緒論1.1研究背景及意義由于時(shí)代的發(fā)展是，社會(huì)的進(jìn)步，互聯(lián)網(wǎng)不管是從哪個(gè)層面上來(lái)看，都是進(jìn)入到人們生活中的方方面面，并且在具體的經(jīng)營(yíng)和實(shí)施的過(guò)程中，發(fā)揮著尤為重大的作用，互聯(lián)網(wǎng)安全在具體的實(shí)施和運(yùn)營(yíng)的過(guò)程中，不管是從哪個(gè)層面上來(lái)看，對(duì)于人們的生活發(fā)揮的作用也顯得尤為重要，只有確保了互聯(lián)網(wǎng)的安全問(wèn)題，人們才能夠在一個(gè)較為安定祥和的環(huán)境之下生活。互聯(lián)網(wǎng)在具體的經(jīng)營(yíng)和實(shí)際的發(fā)展過(guò)程中，不管是從哪個(gè)層面上來(lái)看，對(duì)于人們的生活都產(chǎn)生了較為深遠(yuǎn)的影響?；ヂ?lián)網(wǎng)在具體的運(yùn)營(yíng)和實(shí)施過(guò)程中，是一種較為開(kāi)放化的態(tài)度，不同的地界，不同的人們?cè)谶@樣的一種綜合的發(fā)展環(huán)境之下，都是得到了較大程度的發(fā)展，并且在具體的運(yùn)營(yíng)過(guò)程中的，對(duì)于整個(gè)系統(tǒng)的發(fā)展也是發(fā)揮著尤為重要的作用，但是從目前的綜合發(fā)展來(lái)看的話，我們不難發(fā)現(xiàn)，網(wǎng)絡(luò)安全問(wèn)題的隱患逐漸的被凸現(xiàn)出來(lái)了，這也是在具體的實(shí)施和管理的過(guò)程中，我們需要加強(qiáng)關(guān)注和重視力度的。我國(guó)的計(jì)算機(jī)在具體的發(fā)展過(guò)程中，不管是從其發(fā)展歷史上來(lái)看，還是從其在實(shí)際的經(jīng)營(yíng)過(guò)程上來(lái)看，我們都不難發(fā)現(xiàn)，我國(guó)的計(jì)算機(jī)的綜合起源都是較晚的，人們?cè)诰唧w的計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展過(guò)程中，對(duì)于互聯(lián)網(wǎng)安全意識(shí)不管是從宏觀的層面上，還是從微觀的層面上來(lái)看，都是存在著較大的不足的，因而加強(qiáng)公眾的安全意識(shí)，是我們當(dāng)下需要著力的關(guān)注和重視的問(wèn)題。也是基于這樣的一項(xiàng)綜合原因的存在，對(duì)目前網(wǎng)絡(luò)在具體的運(yùn)營(yíng)和實(shí)施的過(guò)程中，存在的諸多不合理，不安全的問(wèn)題加大重視力度和關(guān)注力度，意義是尤為重大的，只有這樣，才能夠更好的實(shí)現(xiàn)網(wǎng)絡(luò)的規(guī)范性以及安全性，這一點(diǎn)在具體的實(shí)施和執(zhí)行的過(guò)程中，是我們需要重點(diǎn)的關(guān)注和加強(qiáng)的問(wèn)題。網(wǎng)絡(luò)系統(tǒng)在具體的運(yùn)營(yíng)過(guò)程中，如果遭遇到了較大的威脅的話，從其自身的角度上來(lái)分析的話，我們不難發(fā)現(xiàn)，通常就是網(wǎng)絡(luò)在具體的運(yùn)營(yíng)過(guò)程中，網(wǎng)絡(luò)自身的安全問(wèn)題就是存在著諸多的隱患的，因而這一問(wèn)題不管是從哪個(gè)層面上來(lái)看，都是需要加強(qiáng)關(guān)注和重視的問(wèn)題。很多的網(wǎng)絡(luò)攻擊者在具體的實(shí)施和管理的過(guò)程中，對(duì)于這一問(wèn)題不管是從哪個(gè)層面上來(lái)看，。都是需要我們著力的關(guān)注和重視的問(wèn)題，并且攻擊者在具體的攻擊過(guò)程中，也是需要加強(qiáng)我們自身的網(wǎng)絡(luò)防御能力的，只有怎樣，才能夠避免被攻擊。1.2國(guó)內(nèi)外研究現(xiàn)狀互聯(lián)網(wǎng)在具體的實(shí)施和管理的過(guò)程中，從一個(gè)較大的范圍上來(lái)看的話，我們不難發(fā)現(xiàn)，互聯(lián)網(wǎng)遭遇黑客侵犯的現(xiàn)象是尤為普遍的，要想最大程度的實(shí)現(xiàn)這一問(wèn)題以及這一現(xiàn)象的緩解，是我們?cè)诰唧w的實(shí)施和運(yùn)營(yíng)的過(guò)程中，需要著力的關(guān)注和重視的問(wèn)題，由于互聯(lián)網(wǎng)在具體的信息傳播的過(guò)程中，不管是從信息量上，還是從其綜合的傳播速度上，都是較快的，并且不管是從國(guó)內(nèi)的層面上，還是從國(guó)際的層面上，對(duì)于這一信息都是給予了較強(qiáng)的關(guān)注度和認(rèn)可度的，SQL注入技術(shù)從目前我國(guó)的綜合發(fā)展形式上來(lái)看，我們不難發(fā)現(xiàn)，他在具體的發(fā)展過(guò)程中，都是目前大力探索和研究的主要方向。我國(guó)1999年10月發(fā)布了“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則”，這項(xiàng)準(zhǔn)則在具體的實(shí)施和執(zhí)行的過(guò)程中，對(duì)于整個(gè)運(yùn)營(yíng)體系也是產(chǎn)生了較好的影響，并且對(duì)于互聯(lián)網(wǎng)安全等相關(guān)問(wèn)題也給出了較為系統(tǒng)性的指導(dǎo)和建議，但是這項(xiàng)研究在具體的實(shí)施和執(zhí)行的過(guò)程中，相較于先進(jìn)的發(fā)達(dá)國(guó)家，是存在著較大的差異的，要想最大程度的實(shí)現(xiàn)這一問(wèn)題的較好的解決，是我們?cè)谖磥?lái)的實(shí)際發(fā)展過(guò)程中，需要著力的關(guān)注和重視的問(wèn)題。從安全體系的發(fā)展層面上來(lái)看的話，我們不難發(fā)現(xiàn)，各個(gè)國(guó)家在安全系數(shù)上給予的關(guān)注都是非常重大的，科學(xué)在具體的研究和執(zhí)行的過(guò)程中，是一定的按照相關(guān)的規(guī)定和要求來(lái)執(zhí)行的，只有這樣，整個(gè)運(yùn)營(yíng)體系才能夠產(chǎn)生一種較好的發(fā)展?fàn)顟B(tài)，以及研究清晰的、完整的安全策略和機(jī)制。目前存在的主要問(wèn)題是:低水平分散、重復(fù)研究，整體技術(shù)創(chuàng)新能力不足，信息產(chǎn)業(yè)在具體的實(shí)施和執(zhí)行的過(guò)程中，不管是從哪個(gè)層面上來(lái)看，都是存在著較多的需要完善和解決的問(wèn)題，很多發(fā)揮著主要作用的系統(tǒng)在具體的實(shí)施和執(zhí)行的過(guò)程中，也是需要我們加大研發(fā)力度和重視力度的。1.3研究?jī)?nèi)容通過(guò)目前國(guó)內(nèi)以及國(guó)外在具體的發(fā)展和實(shí)施的相關(guān)現(xiàn)狀以及具體的發(fā)展情況上來(lái)看的話，我們不難發(fā)現(xiàn)，要想實(shí)現(xiàn)互聯(lián)網(wǎng)在具體的運(yùn)營(yíng)和實(shí)際的發(fā)展過(guò)程中，保持一種較好的發(fā)展?fàn)顟B(tài)，至關(guān)重要的環(huán)節(jié)就是在具體的實(shí)施過(guò)程中，維持較好的研究態(tài)勢(shì)，本文從以下方面探討SQL注入攻擊與SQLServer數(shù)據(jù)庫(kù)的安全:（1）詳細(xì)介紹SQL注入的一般步驟，對(duì)網(wǎng)絡(luò)在具體的運(yùn)營(yíng)過(guò)程中的相關(guān)問(wèn)題做出了較為系統(tǒng)全面的闡釋和說(shuō)明。（2）在具體的研究過(guò)程中，從實(shí)用性以及理論性這兩個(gè)層面上，對(duì)相關(guān)的問(wèn)題做出了較為系統(tǒng)化的闡釋和說(shuō)明，并且在具體的實(shí)施過(guò)程中，關(guān)注的更多的是實(shí)用性。首先分析了目前的這一掃描技術(shù)在具體的實(shí)施和執(zhí)行的過(guò)程中，存在的不完善和亟待優(yōu)化和改善的方面，接著對(duì)脆弱性掃描產(chǎn)品的技術(shù)要求和測(cè)評(píng)方法進(jìn)行了詳細(xì)的描述。最后給出了目前剛剛在脆弱性產(chǎn)品測(cè)試過(guò)程中應(yīng)用的滲透測(cè)試方法。以期在具體的實(shí)施和實(shí)際的枝形過(guò)程中，能夠最大程度的在這一問(wèn)題上，有一個(gè)較好的研究和較大的突破，這一點(diǎn)在具體的實(shí)施和執(zhí)行的過(guò)程中，是需要著力的關(guān)注和研究的問(wèn)題，并且在相關(guān)事宜踐行的過(guò)程中，也是一項(xiàng)至關(guān)重要的環(huán)節(jié)，因而這一點(diǎn)是尤為重要的，在具體的研究和實(shí)施的過(guò)程中，加強(qiáng)這一問(wèn)題的關(guān)注和重視，不管是從宏觀的層面上，還是從微觀的層面上，都是需要著力的關(guān)注和重視的問(wèn)題。2相關(guān)技術(shù)及理論概述2.1SQL注入技術(shù)分析2.1.1SQL概述SQL是一種介于關(guān)系代數(shù)與關(guān)系演算之間的結(jié)構(gòu)化查詢語(yǔ)言，在具體的實(shí)施過(guò)程中，其行駛的綜合功能不僅僅是從查詢的層面上，實(shí)現(xiàn)其相關(guān)功能的行駛。SQL是一種綜合性較強(qiáng)的數(shù)據(jù)庫(kù)語(yǔ)言，在具體的實(shí)施過(guò)程中，不管是從哪個(gè)側(cè)門(mén)上來(lái)看，都是存在著極大的需要完善和解決的問(wèn)題的。SQL語(yǔ)言支持關(guān)系數(shù)據(jù)庫(kù)三級(jí)模式結(jié)構(gòu)，如圖2-1所示。其中外模式對(duì)應(yīng)于視圖和部分基本表，模式對(duì)應(yīng)于基本表，內(nèi)模式對(duì)應(yīng)于存儲(chǔ)文件。圖2-1網(wǎng)絡(luò)面臨的威脅和攻擊SQL語(yǔ)言在具體的實(shí)施過(guò)程中，不管是其綜合的功能還是其具體的實(shí)施細(xì)則，之所以能夠得到越來(lái)越多的人的關(guān)注和認(rèn)可，并且得到大多數(shù)人的支持和認(rèn)可，并且在具體的實(shí)施和執(zhí)行的過(guò)程中，不管是從哪個(gè)層面上來(lái)看，都是存在著諸多的可實(shí)施性的。SQL語(yǔ)言集數(shù)據(jù)查詢(DataQuery)、數(shù)據(jù)操縱(DataManipulation)、數(shù)據(jù)定義(DataDefinition)和數(shù)據(jù)控制(DataControl)功能于一體。2.1.2腳本攻擊概述現(xiàn)在的主流腳本包括以下幾種:HTML(HypertextMarkupLanguage):是一種用來(lái)制作web超文本格式文檔的web開(kāi)發(fā)語(yǔ)言，HTML開(kāi)發(fā)的web頁(yè)面除了顯示文字以外還可以顯示圖片、聲音等。ASP(ActiveServerPage):它是一種包含了使用VBScript或Javascript腳本程序代碼的網(wǎng)頁(yè)。當(dāng)用戶在進(jìn)行具體的網(wǎng)頁(yè)瀏覽的時(shí)候，Web服務(wù)器就會(huì)請(qǐng)求生成相應(yīng)的HTML代碼然后再返回給瀏覽器，這樣瀏覽器但看到的就是動(dòng)態(tài)生成的網(wǎng)頁(yè)。它可以與數(shù)據(jù)庫(kù)或其他程序進(jìn)行交互。是一種簡(jiǎn)單，方便的編程工具。JavaScript:它是由NETCAPA公司開(kāi)發(fā)，并隨NETCAPANAVIGAOR一起發(fā)布的，基于對(duì)象(ObjectBased)和事件驅(qū)動(dòng)(EventDriver)的編程語(yǔ)言。他在具體的實(shí)施過(guò)程中，不管是從內(nèi)容的豐富度上，還是從其他的層面上，其前身是NETCAPA開(kāi)發(fā)的腳本語(yǔ)言LiveScriptAVBScript:它實(shí)際上是MicrosoftVisualBasic的一個(gè)子集，是基于VisualBasic的腳本編寫(xiě)語(yǔ)言。它用于創(chuàng)建客戶方的腳本程序，并且對(duì)于網(wǎng)頁(yè)上的一些動(dòng)態(tài)特征也能夠產(chǎn)生較好的回應(yīng)，這一點(diǎn)是在具體的實(shí)施和執(zhí)行的過(guò)程中，需要加強(qiáng)關(guān)注和重視的問(wèn)題。ActiveX:是Microsoft提出的一組應(yīng)用COM(ComponentObjectModel,組件對(duì)象模型)，這樣的一種系統(tǒng)，使得網(wǎng)絡(luò)在具體的發(fā)展過(guò)程中，能夠保持一種較好的發(fā)展?fàn)顟B(tài)。他與具體的編程語(yǔ)言無(wú)關(guān)。因而，在具體的實(shí)施和執(zhí)行的過(guò)程中，對(duì)于這樣的一種語(yǔ)言在具體的編程過(guò)程中的特殊的性質(zhì)，是我們需要重點(diǎn)的關(guān)注和加強(qiáng)的問(wèn)題，只有在這一問(wèn)題上，維持一種較好的編程狀態(tài)，其最終的成效也是尤為可觀的。通過(guò)對(duì)目前的網(wǎng)絡(luò)狀況進(jìn)行具體的研究和分析，我們不難發(fā)現(xiàn)，主要可分為三種:跨站腳本攻擊(CSS/XSS)，腳本注入攻擊(ScriptInjection)，IE腳本攻擊。2.1.3SQL注入步驟分析（1）漏洞成因一個(gè)典型的SQL語(yǔ)句是這樣的:這個(gè)查詢語(yǔ)句將會(huì)從“authors”表中返回“id”，“forename”和“surname”列的所有行。返回的結(jié)果記錄集也可以加以特定條件“authors”限制:注意到這里很重要的一點(diǎn)是“john”和“smith”是被單引號(hào)引住的，假設(shè)“forename”和“surname”字段是來(lái)自于用戶的輸入，攻擊者就可能通過(guò)輸入非法字符串來(lái)對(duì)這個(gè)查詢進(jìn)行SQL注入，例如:查詢語(yǔ)句就會(huì)變?yōu)椋寒?dāng)數(shù)據(jù)庫(kù)試圖執(zhí)行這個(gè)查詢，它會(huì)返回這樣的錯(cuò)誤信息:這時(shí)因?yàn)椴迦氲膯我?hào)使得原先的較為良好的數(shù)據(jù)狀態(tài)相較于之前，實(shí)現(xiàn)了較大的破壞，數(shù)據(jù)庫(kù)執(zhí)行到“”時(shí)失敗，如果攻擊者這樣輸入:但是很多的人錯(cuò)誤的認(rèn)為，在具體的實(shí)施和執(zhí)行的過(guò)程中，如果不能很好的實(shí)現(xiàn)這一問(wèn)題的較好的關(guān)注和執(zhí)行的話，那么最終無(wú)疑是會(huì)產(chǎn)生較大的不利于實(shí)際發(fā)展的狀態(tài)產(chǎn)生的。的確如此，但要實(shí)施此方案還有很多困難。在這樣的一種綜合的發(fā)展因素之下，攻擊者是能夠隨意的對(duì)SQL語(yǔ)言進(jìn)行篡改的，這樣的一種狀態(tài)在具體的實(shí)施和執(zhí)行的過(guò)程中，也是我們需要著力的關(guān)注和重視的問(wèn)題。在SQL語(yǔ)句撰寫(xiě)的過(guò)程中，使用著各種分隔符，比如MSJetDBMS引擎，日期可以用‘#’符號(hào)來(lái)分隔。其次，在具體的單引號(hào)使用的過(guò)程中，也是需要重點(diǎn)的關(guān)注的問(wèn)題之一，要想最大程度的實(shí)現(xiàn)這一問(wèn)題的較好的解決，并不是單純的從單引號(hào)這一問(wèn)題上，就能夠予以較好的解決的，而應(yīng)該從一個(gè)較大的層面上，予以更好的解決，這一點(diǎn)是在具體的編程過(guò)程中，需要重點(diǎn)的關(guān)注和重視的問(wèn)題。（2）漏洞檢測(cè)方法①附加法通過(guò)and在原URL的末尾附加構(gòu)造的惡意代碼。如果1正常顯示，而2報(bào)錯(cuò)，如果出現(xiàn)這樣的情況，那么毫無(wú)疑問(wèn)，在具體的實(shí)施和執(zhí)行的過(guò)程中，就會(huì)存在著諸多的不合理的相關(guān)情況存在。如果都正常顯示或者都不正常，那可能是被過(guò)濾掉了。也可用“‘”來(lái)檢測(cè)是否有漏洞，檢側(cè)是否允許執(zhí)行此時(shí)，如果存在漏洞，那么將報(bào)錯(cuò)。因而，在具體的編程過(guò)程中的，對(duì)于這一問(wèn)題，在具體的實(shí)施過(guò)程中，是非常有必要予以系統(tǒng)化的實(shí)施和執(zhí)行的，也是需要重點(diǎn)的關(guān)注和加強(qiáng)的問(wèn)題。②替換法替換在原URL中的部分SQL代碼為構(gòu)造的惡意SQL代碼。如果猜對(duì)表命名，將有可能出現(xiàn)下面三種情況:a.顯示某部影片的信息(巧合的情況)b.顯示影片找不到(如果有判斷是否為EOF)c.提示錯(cuò)誤信息(EOFORBOF)如果猜錯(cuò)，將會(huì)直接提示找不到表名。同理可以在()內(nèi)構(gòu)造其他SQL查詢代碼，進(jìn)行進(jìn)一步攻擊。（3）SQL注入的危害SQL注入的危害:攻擊者可以利用這樣的工具或者方式實(shí)現(xiàn)對(duì)相關(guān)數(shù)據(jù)的篡改，最終對(duì)數(shù)據(jù)庫(kù)中的一些較為重要的信息進(jìn)行竊取，這樣的一種行為或者是這樣的一種狀態(tài)是非常不可取的，也是在具體的實(shí)施和執(zhí)行的過(guò)程中，需要加強(qiáng)關(guān)注和重視的問(wèn)題;可以獲得數(shù)據(jù)庫(kù)管理員的權(quán)限;如果能夠再利用SQLServer來(lái)進(jìn)行一些儲(chǔ)存指令的實(shí)施和執(zhí)行的話，攻擊者就可以輕而易舉盜取數(shù)據(jù)庫(kù)中的相關(guān)重要數(shù)據(jù)。幾點(diǎn)注意事項(xiàng):①選擇注入形式，URL中接受用戶輸入數(shù)據(jù)的類型的不同，會(huì)使得注入時(shí)使用的輸入內(nèi)容有所差異。OSQL注入的存在原因是Web應(yīng)用在對(duì)用戶進(jìn)行具體的管理和篩選的過(guò)程中，能夠較好的對(duì)這樣的一種狀態(tài)實(shí)施一種較好的管理，這一點(diǎn)是尤為重要的，也是在具體的實(shí)施和執(zhí)行的過(guò)程中，需要加強(qiáng)關(guān)注和重視的問(wèn)題，但是這并不意味著一定要過(guò)濾掉一些沒(méi)有用的信息。③存儲(chǔ)過(guò)程有很多，SA(systemadministrator)用戶意味可以使用所有的存儲(chǔ)過(guò)程，它和系統(tǒng)Administrator用戶類似。2.2網(wǎng)絡(luò)脆弱性分類2.2.1脆弱性分類意義在對(duì)網(wǎng)絡(luò)進(jìn)行搜集整理以及脆弱性的管理和分析的過(guò)程中，我們不難發(fā)現(xiàn)，我們發(fā)現(xiàn)系統(tǒng)中的脆弱性種類繁多，互聯(lián)網(wǎng)安全問(wèn)題不管是從廣度上還是從深度上，涉及到的層面也是非常多的，涉及到的攻擊方式也是非常繁多的，要想最大程度的實(shí)現(xiàn)這一問(wèn)題的較好的解決，需要給予的關(guān)注和重視力度也是非常多的，互聯(lián)網(wǎng)的脆弱性以及安全問(wèn)題在具體的實(shí)施過(guò)程中，表現(xiàn)的也尤為明顯。根據(jù)相關(guān)的統(tǒng)計(jì)結(jié)果表明，每天都會(huì)誕生一種較為全新的攻擊方法。也是基于這樣的一種綜合的現(xiàn)實(shí)因素的存在，故而在具體的實(shí)施和執(zhí)行的過(guò)程中，存在著諸多的實(shí)際性的問(wèn)題。在具體的分析和實(shí)際的解決過(guò)程中，我們關(guān)注的更多的是如何最大程度的實(shí)現(xiàn)這一問(wèn)題的較好的發(fā)展和管理，進(jìn)而最終在整件事宜上，產(chǎn)生較好的發(fā)展成效。在對(duì)網(wǎng)絡(luò)的脆弱性等相關(guān)問(wèn)題進(jìn)行了較為系統(tǒng)化以及合理化的解決之后，我們發(fā)現(xiàn):很多的網(wǎng)絡(luò)安全問(wèn)題在具體的實(shí)施和執(zhí)行的過(guò)程中，是存在著較多的相似之處的，如何最大程度的在眾多相似之處中，尋求一個(gè)較大的突破點(diǎn)和共同點(diǎn)，是我們需要著重關(guān)注的問(wèn)題;過(guò)于網(wǎng)絡(luò)安全的脆弱性研究上，我們是非常有必要從一個(gè)多角度，多層次，多維度的層面上予以較好的分析和研究的，只有這樣，才能夠最終使得這一問(wèn)題得以較好的完善和解決，使得網(wǎng)絡(luò)在晶體的安全性的脆弱性等問(wèn)題的解決上，能夠找出較大的相似性以及共同點(diǎn)，這樣的一種管理方案和解決措施，不管是從哪個(gè)層面上來(lái)看，都能夠極好的幫助我們對(duì)相關(guān)的問(wèn)題予以較好的實(shí)施和解決，這一點(diǎn)不管是從宏觀的層面上，還是從微觀的層面上來(lái)看，發(fā)揮的綜合作用都是尤為重大的，也是我們?cè)诰唧w的管理過(guò)程中，需要加強(qiáng)關(guān)注和重視的問(wèn)題。2.2.2脆弱性分類方法（1）基于引入原因的脆弱性分類①配置錯(cuò)誤主要包括以下幾種:服務(wù)程序的設(shè)置參數(shù)不對(duì)、文件或服務(wù)的權(quán)限設(shè)置有誤、程序安裝的位置有誤、環(huán)境變量設(shè)置有誤。②編碼錯(cuò)誤軟件編碼在具體的實(shí)施和執(zhí)行的過(guò)程中，難免是會(huì)存在著較大的失誤現(xiàn)象存在的，主要包括以下兩種情況:條件驗(yàn)證錯(cuò)誤，包括邊界條件驗(yàn)證錯(cuò)誤，訪問(wèn)權(quán)限驗(yàn)證錯(cuò)誤，數(shù)據(jù)源驗(yàn)證錯(cuò)誤，輸入合法性驗(yàn)證錯(cuò)誤，異常條件處理錯(cuò)誤。這些問(wèn)題在具體的實(shí)施和踐行的過(guò)程中，都是需要我們重點(diǎn)的予以關(guān)注和管理的，只有在這一問(wèn)題上，予以了較為系統(tǒng)化的實(shí)施和解決，才能夠最終在這一問(wèn)題上，給予較好的解決，因而這一問(wèn)題也是在相關(guān)事宜執(zhí)行的過(guò)程中，需要重點(diǎn)的關(guān)注和加強(qiáng)的，故而，其重要性以及其迫切性，是可見(jiàn)一斑的。（2）基于生命周期的脆弱性分類軟件在具體的實(shí)施和執(zhí)行的過(guò)程中，是會(huì)存在著一定的生命周期的，WenDu等人對(duì)軟件的生命周期提出了一系列的較為系統(tǒng)化以及客觀化的建議和意見(jiàn)。由此形成了網(wǎng)絡(luò)脆弱性的生命周期:脆弱性產(chǎn)生的原因一旦被發(fā)現(xiàn)，最終就會(huì)得到良好的管理和解決，最終在這一問(wèn)題上，實(shí)現(xiàn)一種較好的發(fā)展?fàn)顟B(tài)，這一點(diǎn)不管是從哪個(gè)層面上來(lái)看，都是我們需要著力的關(guān)注和重視的問(wèn)題，也是在具體的經(jīng)營(yíng)過(guò)程中，需要加強(qiáng)關(guān)注和重視的問(wèn)題。該分類主要應(yīng)用于這樣的目標(biāo):針對(duì)每一類脆弱性尋找合適的軟件測(cè)試、調(diào)試技術(shù)，從而對(duì)實(shí)際存在的網(wǎng)絡(luò)的脆弱性問(wèn)題予以實(shí)時(shí)的解決，進(jìn)而最終實(shí)現(xiàn)脆弱性問(wèn)題的較好的管理，這一點(diǎn)在具體的實(shí)施過(guò)程中，其綜合的發(fā)展意義是非常重大的，也是我們需要重點(diǎn)的關(guān)注和加強(qiáng)的問(wèn)題。（3）基于入侵簽名的分類KUMAR提出的是基于入侵簽名的分類方法。入侵檢測(cè)就是基于這種目的的安全措施。3網(wǎng)絡(luò)脆弱性分析應(yīng)用3.1網(wǎng)絡(luò)脆弱性掃描工具圖3-1網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的系統(tǒng)組成系統(tǒng)的基本組成由四個(gè)模塊構(gòu)成:界面、掃描引擎、結(jié)果評(píng)估分析和數(shù)據(jù)庫(kù)。如圖3-1所示。分布式系統(tǒng)由一個(gè)以上的掃描引擎和其他三個(gè)模塊組成。界面:1)負(fù)責(zé)接受并處理用戶輸入、定制掃描測(cè)策略、掃描操作、定制評(píng)估分析報(bào)告等;2)顯示系統(tǒng)工作狀態(tài)。掃描引擎:1)響應(yīng)界面指令;2)讀取掃描策略數(shù)據(jù)庫(kù)，并依此制定執(zhí)行方案;3)執(zhí)行掃描方案，啟動(dòng)掃描進(jìn)程和線程，并進(jìn)行調(diào)度管理;4)將掃描結(jié)果存檔保存。結(jié)果評(píng)估分析:1)讀取數(shù)據(jù)庫(kù)中掃描結(jié)果信息;2)生成結(jié)果報(bào)告。數(shù)據(jù)庫(kù):1)存放掃描結(jié)果、定制策略內(nèi)容、脆弱性描述及其解決方法;2)提供數(shù)據(jù)查詢、管理功能下面介紹流行的脆弱性掃描產(chǎn)品，它們都被廣泛應(yīng)用，極大的簡(jiǎn)化了安全管理員進(jìn)行網(wǎng)絡(luò)脆弱性掃描的工作，主要有以下三個(gè):（1）SSS2005年07月04日發(fā)布，發(fā)布了ShadowSecurityScanner的最新版本v7.58Build129,SSS在安全掃描市場(chǎng)中享有速度最快，功效最好的盛名，其功能遠(yuǎn)遠(yuǎn)超過(guò)了其它眾多的掃描分析工具。（2）RetinaRetina最有競(jìng)爭(zhēng)力的優(yōu)點(diǎn)是能夠?qū)芏嗟囊呀?jīng)存在的漏洞或者是已經(jīng)存在的問(wèn)題予以實(shí)時(shí)的修復(fù)和解決，并且對(duì)于已經(jīng)存在的漏洞能夠提出實(shí)時(shí)的解決方案和措施，進(jìn)而最終實(shí)現(xiàn)漏洞的較好的修復(fù)。Retina的助手工具使得客戶在具體的操作過(guò)程中，是在一個(gè)較為安全有效的范圍之內(nèi)，實(shí)現(xiàn)對(duì)相關(guān)事宜的管理和執(zhí)行的，比如防病毒部署和企業(yè)標(biāo)準(zhǔn)注冊(cè)登記表的設(shè)置?！白詣?dòng)修復(fù)性能是Retina在具體的實(shí)施過(guò)程中，尤為重要的一項(xiàng)功能，相較于其他的軟件，這樣的一項(xiàng)軟件在具體的實(shí)施和執(zhí)行的過(guò)程中，發(fā)揮的作用是尤為重大的，也是我們?cè)诰唧w的管理過(guò)程中，需要重點(diǎn)的關(guān)注和加強(qiáng)的問(wèn)題，當(dāng)然這項(xiàng)功能在具體的實(shí)施和執(zhí)行的過(guò)程中，發(fā)揮的綜合作用也是尤為重大的，需要我們予以格外的關(guān)注和重視”，PCMagazine的編輯這樣評(píng)價(jià)Retina。（3）NESSUS服務(wù)器可以在機(jī)會(huì)所有Unix類系統(tǒng)上運(yùn)行。它甚至可以運(yùn)行在MACOSX和IBM/AIX，但是在Linux上的安裝應(yīng)該是更簡(jiǎn)單的。這樣的一些功能在具體的實(shí)施和執(zhí)行的過(guò)程中，是具備較強(qiáng)的靈活性的。客戶端有Windows下和Unix下的版本。應(yīng)當(dāng)經(jīng)常對(duì)插件進(jìn)行升級(jí)。從維護(hù)列表升級(jí)插件，這一事宜在具體的實(shí)施和執(zhí)行的過(guò)程中，其相關(guān)的功能是非常簡(jiǎn)單的，當(dāng)然在具體的使用過(guò)程中，也是尤為高效的，只需要用:NESSUS_UPDATE_plugins就可以完成了。3.2脆弱性掃描產(chǎn)品測(cè)評(píng)1、測(cè)試內(nèi)容（1）自身安全測(cè)試對(duì)基本型網(wǎng)絡(luò)脆弱性掃描產(chǎn)品自身安全進(jìn)行測(cè)試，包括身份鑒別、適用范圍限制、敏感信息保護(hù)、軟件使用記錄等。（2）安全功能測(cè)試對(duì)基本型網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全功能進(jìn)行測(cè)試，包括脆弱性掃描、網(wǎng)絡(luò)旁路檢查、信息獲取、端口和服務(wù)掃描等。對(duì)增強(qiáng)型網(wǎng)絡(luò)脆弱性掃描產(chǎn)品自身安全進(jìn)行測(cè)試，在基本型產(chǎn)品測(cè)試基礎(chǔ)上，增加脆弱性修補(bǔ)功能測(cè)試。（3）性能測(cè)試對(duì)產(chǎn)品的基本性能指標(biāo)進(jìn)行測(cè)試，包括速度、穩(wěn)定性和容錯(cuò)性等。（4）管理要求測(cè)試對(duì)基本型網(wǎng)絡(luò)脆弱性掃描產(chǎn)品管理要求進(jìn)行測(cè)試，包括授權(quán)管理員訪問(wèn)、掃描結(jié)果分析處理、掃描策略定制、掃描對(duì)象的安全性、升級(jí)能力等。（5）可用性測(cè)試對(duì)基本型網(wǎng)絡(luò)脆弱性掃描產(chǎn)品使用要求進(jìn)行測(cè)試，包括安裝與操作控制、物理控制等。（6）互動(dòng)性測(cè)試對(duì)增強(qiáng)型網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的互動(dòng)性進(jìn)行測(cè)試，在基本型產(chǎn)品測(cè)試基礎(chǔ)上，進(jìn)行產(chǎn)品與IDS產(chǎn)品的互動(dòng)、與其他應(yīng)用程序之間的互動(dòng)的功能測(cè)試。（7）保證要求檢查對(duì)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品進(jìn)行保證要求檢查，包括配置管理、交付和操作、開(kāi)發(fā)、指南文件、測(cè)試、脆弱性分析等保證要求。2、測(cè)試環(huán)境圖3-2是脆弱性掃描產(chǎn)品測(cè)試所需的測(cè)試環(huán)境，一般來(lái)說(shuō)，我們會(huì)用防火墻隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。我們會(huì)分別在外網(wǎng)的入口和內(nèi)網(wǎng)部署網(wǎng)絡(luò)脆弱性掃描工具。圖3-2網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測(cè)試環(huán)境圖表3-1脆弱性掃描產(chǎn)品測(cè)試環(huán)境組件及其功能表3-1是網(wǎng)絡(luò)測(cè)試環(huán)境中的各個(gè)組件以及它們的功能描述。在表中可以看到脆弱性掃描產(chǎn)品A部署在外網(wǎng)，而網(wǎng)絡(luò)脆弱性掃描產(chǎn)品B部署在內(nèi)網(wǎng)。3、測(cè)評(píng)方法脆弱性掃描測(cè)評(píng)方法:（1）根據(jù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品版本發(fā)行說(shuō)明、安裝手冊(cè)、用戶手冊(cè)、管理員手冊(cè)、配置管理文檔、測(cè)試文檔、高層設(shè)計(jì)文檔等，確定測(cè)試對(duì)象(產(chǎn)品、掃描對(duì)象等)，根據(jù)“網(wǎng)絡(luò)脆弱性掃描工具技術(shù)要求”中的“網(wǎng)絡(luò)脆弱性”項(xiàng)目列表，分別編寫(xiě)測(cè)試用例。（2）預(yù)期結(jié)果網(wǎng)絡(luò)脆弱性掃描產(chǎn)品在進(jìn)行網(wǎng)絡(luò)掃描時(shí)，在成功進(jìn)行“網(wǎng)絡(luò)脆弱性項(xiàng)目列表”中各項(xiàng)測(cè)試時(shí)均滿足以下要求:①目標(biāo)系統(tǒng)開(kāi)啟了相應(yīng)的服務(wù);②宿主機(jī)擁有對(duì)目標(biāo)系統(tǒng)的相應(yīng)訪問(wèn)權(quán)限，或擁有具備訪問(wèn)權(quán)限的賬號(hào)/口令對(duì)。3.3滲透測(cè)試滲透測(cè)試總體上分為三個(gè)階段，分別為預(yù)攻擊階段、攻擊階段和后攻擊階段。如圖3-3所示:圖3-3滲透測(cè)試流程圖1、預(yù)攻擊階段檢查應(yīng)用系統(tǒng)架構(gòu)，防止用戶繞過(guò)系統(tǒng)直接修改數(shù)據(jù)庫(kù);檢查身份認(rèn)證模塊，防止非法用戶繞過(guò)身份認(rèn)證;檢查數(shù)據(jù)庫(kù)接口模塊，防止用戶獲取系統(tǒng)權(quán)限;檢查文件接口模塊，防止用戶獲取系統(tǒng)文件;等等。2、攻擊階段可以采用各種公開(kāi)及私有的緩沖區(qū)溢出程序代碼，也可以采用諸如MetaFramework之類的利用程序集合。3、后攻擊階段口令破解一般用于弱口令的檢驗(yàn)，通常是必須具備了相應(yīng)的權(quán)限之后，才能夠按照相關(guān)的規(guī)定和要求來(lái)予以較好的執(zhí)行和操作的，只有這樣，整個(gè)事宜在具體的管理過(guò)程中，才能夠最大程度的發(fā)揮出其應(yīng)有的效用，這一點(diǎn)是尤為重要的，也是在具體的實(shí)施和執(zhí)行的過(guò)程中，需要著力的關(guān)注和重視的問(wèn)題。有很多著名的口令破解軟件，如Crack、JohntheRipper等。4SQL注入的安全防范4.1驗(yàn)證所有輸入對(duì)應(yīng)用程序接收的數(shù)據(jù)不做任何有關(guān)大小、類型或內(nèi)容的假設(shè)。例如，評(píng)估以下內(nèi)容:如果是一個(gè)用戶在需要郵政編碼的位置無(wú)意中或惡意地輸入了一個(gè)10MB的MPEG文件，應(yīng)用程序應(yīng)做出相應(yīng)反應(yīng)。通過(guò)這樣的一種方式能夠極大程度的實(shí)現(xiàn)在具體的驗(yàn)證過(guò)程中，進(jìn)行必要的輸入，如果在具體輸入的過(guò)程中，不能按照相關(guān)的規(guī)定和要求來(lái)實(shí)施和執(zhí)行的話，那么最終在驗(yàn)證的過(guò)程中，是不能夠正常的驗(yàn)證通過(guò)的。實(shí)現(xiàn)多層驗(yàn)證。這樣的一種指令在具體的實(shí)施和執(zhí)行的過(guò)程中，對(duì)于一些具有相應(yīng)的惡意入侵的黑客，在具體的實(shí)施和執(zhí)行的過(guò)程中，是發(fā)揮不了太大的效用的，因而在實(shí)際的經(jīng)營(yíng)和具體的管理過(guò)程中，對(duì)于這樣的一種情況也是需要加強(qiáng)關(guān)注和重視的問(wèn)題。最好的做法就是用戶在用戶應(yīng)該進(jìn)入的頁(yè)面來(lái)予以實(shí)時(shí)的進(jìn)入，并且在對(duì)應(yīng)的頁(yè)面進(jìn)行必要的驗(yàn)證性的輸入，只有這樣，則才能夠最大程度的確保信息安全在具體的實(shí)施過(guò)程中的較大的發(fā)展和較好的實(shí)施，這一點(diǎn)發(fā)揮的綜合作用是尤為重大的，也是在具體管理的過(guò)程中，需要加強(qiáng)關(guān)注和重視的問(wèn)題。對(duì)于一些沒(méi)有經(jīng)過(guò)驗(yàn)證的用戶，是堅(jiān)決不能夠允許輕易的而進(jìn)入的。字符串串聯(lián)是腳本注入的主要輸入點(diǎn)。在一些相關(guān)的字段在具體的管理過(guò)程中，不接受下列字符串:AUX,CLOCKS,COM1到COMB、CON、CONFIG$、LPT1到LPTB、NUL以及PRN。如果可能，對(duì)于一些包含下列字段的內(nèi)容，在具體輸入的過(guò)程中，也是需要予以著力的關(guān)注和重視的，只有這樣，整個(gè)事宜在具體的管理過(guò)程中，才能夠最大程度的發(fā)揮出其應(yīng)有的成效，如表4-1所示:表4-1拒絕輸入的字符類型在這里，只給出其中的一種情況，如果輸入的用戶名含有“’”時(shí)，如下圖4-1所示:圖4-1輸入非法字符系統(tǒng)應(yīng)阻擋此類非法訪問(wèn)，并給出提示信息，如圖4-2所示:圖4-2輸入非法字符的報(bào)錯(cuò)信息另外，要使用類型安全的SQL參數(shù)，SQLServer中的Parameters集合提供了類型檢查和長(zhǎng)度驗(yàn)證。如果使用Parameters集合，則輸入將被當(dāng)成文字值而不是可執(zhí)行代碼進(jìn)行處理。使用Parameters集合的另一個(gè)好處是可以強(qiáng)制執(zhí)行類型和長(zhǎng)度檢查。在這個(gè)正常的范圍之外的情況，按照相關(guān)的規(guī)定和要求，都是非常有必要予以較好的實(shí)施和執(zhí)行的，只有這樣，整個(gè)事宜在具體的管理過(guò)程中，才能夠保持一種較好的發(fā)展?fàn)顟B(tài)，這一點(diǎn)是尤為重要的，也是在具體的實(shí)施和執(zhí)行的過(guò)程中，需要著力的關(guān)注和重視的問(wèn)題。如果使用存儲(chǔ)過(guò)程，則應(yīng)使用參數(shù)作為存儲(chǔ)過(guò)程的輸入，在動(dòng)態(tài)SQL中使用參數(shù)集合。如果不能使用存儲(chǔ)過(guò)程，仍可使用參數(shù)，如下所示:4.2篩選輸入篩選輸入可以刪除轉(zhuǎn)義符，這也可能有助于防止SQL注入由于可引起問(wèn)題的字符數(shù)量很大，因此這并不是一種可靠的防護(hù)方法。以下代碼片段可搜索字符串分隔符。LIKE子句注意:如果要使用LIKE子句，還需要對(duì)通配符字符進(jìn)行轉(zhuǎn)義:4.3配置安全數(shù)據(jù)庫(kù)服務(wù)器1、刪除不必要的擴(kuò)展存儲(chǔ)過(guò)程利用中的SQLServer存儲(chǔ)過(guò)程，入侵者可以很容易地構(gòu)造相應(yīng)的SQL語(yǔ)句，進(jìn)行修改數(shù)據(jù)庫(kù)、系統(tǒng)用戶名、系統(tǒng)注冊(cè)表等各種危害性極大的操作，因此有必要?jiǎng)h除掉無(wú)用的存儲(chǔ)過(guò)程。只有在不必要的擴(kuò)展存儲(chǔ)過(guò)程中，予以了必要的刪除，那么最終導(dǎo)致的結(jié)果就是在具體的實(shí)施和執(zhí)行的過(guò)程中，能夠產(chǎn)生一種較好的狀態(tài)，并且在具體執(zhí)行的過(guò)程中，維持一種較好的編碼狀態(tài)，進(jìn)而最大程度的制止不良的用戶進(jìn)入到相關(guān)的界面，盜取重要的信息的這樣一種過(guò)程，因而這一點(diǎn)在具體的實(shí)施過(guò)程中，發(fā)揮的綜合作用也是尤為重大的，加強(qiáng)這一問(wèn)題的關(guān)注和重視，不管是從宏觀的層面上，還是從微觀的層面上來(lái)看，都是需要重點(diǎn)的關(guān)注和加強(qiáng)的問(wèn)題。2、使用安全的數(shù)據(jù)庫(kù)帳號(hào)在一些網(wǎng)站中給予一般用戶連接數(shù)據(jù)庫(kù)SQLServer或MySQL的權(quán)限都是“SA”這是非常危險(xiǎn)的做法，在實(shí)際的賬號(hào)分配的過(guò)程中，應(yīng)該根據(jù)實(shí)際的情況，在具體的賬號(hào)分配的過(guò)程中，不管是從哪個(gè)層面上都能夠有一個(gè)較為高效有序的發(fā)展?fàn)顟B(tài)，并且在對(duì)于不同的用戶在具體的使用過(guò)程中，給予的重視力度和關(guān)注力度是存在著較大的差異的，因而這一點(diǎn)在具體的執(zhí)行過(guò)程中，是需要重點(diǎn)的關(guān)注和加強(qiáng)的問(wèn)題。4.4IIS設(shè)置在具體的ISS設(shè)置的過(guò)程中，可以采取下面的方法防止SQL注入:4.5安全ASP程序的編寫(xiě)1、處理好用戶名與口令應(yīng)用權(quán)限涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少在ASP文件里出現(xiàn)，涉及與數(shù)據(jù)庫(kù)連接的用戶名與口令應(yīng)給予最小的權(quán)限;涉及與數(shù)據(jù)庫(kù)連接，在理想狀態(tài)下只給它以執(zhí)行存儲(chǔ)過(guò)程的權(quán)限，在相關(guān)的權(quán)限管控的過(guò)程中，要最大程度的實(shí)現(xiàn)用戶在相關(guān)的權(quán)限在具體的管理過(guò)程中，維持一種較好的權(quán)限管理的方式，不同的管理員能夠執(zhí)行的權(quán)限應(yīng)該是有差異的，只有這樣，才能夠最大程度的實(shí)現(xiàn)互聯(lián)網(wǎng)在具體的使用過(guò)程中，其綜合的安全性以及高效性得到較好的保證，這一點(diǎn)是尤為重要的，也是在具體的實(shí)施和執(zhí)行的過(guò)程中，需要加強(qiáng)關(guān)注和重視的問(wèn)題。2、inc文件泄露所以程序員在對(duì)相關(guān)的程序進(jìn)行正式的發(fā)布之前，是非常有必要對(duì)其進(jìn)行系統(tǒng)客觀的調(diào)試和管理的即:首先對(duì).inc文件內(nèi)容進(jìn)行加密，其次也可以使用.文件代替.inc文件使用戶無(wú)法從瀏覽器直接觀看文件的源代碼。inc文件的文件名不要使用系統(tǒng)默認(rèn)的或者有特殊含義容易被用戶猜測(cè)到的名稱，在具體的英文字母使用的過(guò)程中，應(yīng)該最大程度的保持無(wú)規(guī)則的英文字符在具體的使用過(guò)程中，不管是從使用的面上，還是從使用的綜合頻率上，都能夠維持一種較為高效快捷的發(fā)展方式，這一點(diǎn)是尤為重要的，也是在具體的發(fā)展過(guò)程中，需要重點(diǎn)的管理的問(wèn)題。5結(jié)論由于時(shí)代的發(fā)展，信息的進(jìn)步，互聯(lián)網(wǎng)在具體的使用過(guò)程中，不管是從使用的深度上，還是從其綜合的使用廣度上，都得到了較大程度的提升和加強(qiáng)，并且得到的大眾的認(rèn)可度和關(guān)注度也變得越來(lái)越高，人們對(duì)于信息的安全性管理，在具體的實(shí)施過(guò)程中，給予的重視力度相較于之前，也逐漸的重視了起來(lái)，之所以互聯(lián)網(wǎng)在具體的實(shí)施和執(zhí)行的過(guò)程中，會(huì)存在著較大