针对PHP程序,提出一种基于注入活动分析技术的结构化查询语言(SQL)漏洞检测方法。以动静态相结合的分析技术为基础,对注入活动从数据流和程序行为方面进行分析,给出基于词法特征比较的SQL漏洞判定算法。通过检测模拟测试数据,并结合别名分析技术、行为模型和SQL漏洞判定算法设计并实现SQL漏洞检测系统。实验结果表明,与Pixy和RIPS系统相比,该系统具有较强的SQL漏洞检测能力和较低的时间开销。

• 出版日期2015-7-16
• 单位北京工业大学