科技资源

本发明公开了基于静态和动态执行的二阶SQL注入漏洞的防御和检测方法，包括静态分析模块和动态执行模块，静态分析模块对SQL语句添加标识符；动态执行模块作用于web应用执行过程中，用于解析静态分析模块添加的标识符，识别出SQL语句中包含的攻击字符，并使用字符转义或字符截取的手段对其进行防御。本发明通过混合静态分析和基于代理的动态执行的方法，实现通用的对二阶SQL注入漏洞的检测防御，提高检测的准确性，误报率较低，保护web应用和其后台数据库的安全。