王雪

老官砬子位于太子河干流，本溪市明山區(qū)牛心臺(tái)鎮(zhèn)梁家村，本溪縣與本溪市交界處，屬河流型地表水，于2003年啟用。老官砬子是本溪市最大的集中飲用水源地，設(shè)計(jì)年取水量為12775萬(wàn)噸，供給本溪市區(qū)、石橋子開發(fā)區(qū)及本鋼廠區(qū)生活飲用，服務(wù)人口78.9萬(wàn)人。

“十二五”期間，太子河本溪段老官砬子斷面水質(zhì)生物監(jiān)測(cè)指標(biāo)主要為糞大腸菌群、浮游植物和底棲動(dòng)物。分析方法采用國(guó)家環(huán)保局《環(huán)境監(jiān)測(cè)技術(shù)規(guī)范——生物監(jiān)測(cè)（水環(huán)境）》部分進(jìn)行。

1 河流生物監(jiān)測(cè)評(píng)價(jià)結(jié)果

“十二五”期間，太子河本溪段河流水質(zhì)中，老官砬子斷面糞大腸菌群屬良好，浮游植物和底棲動(dòng)物屬輕度污染，詳見(jiàn)表1。

2 “十二五”與“十一五”期間河流生物指標(biāo)比較

“十二五”與“十一五”期間太子河本溪段河流水質(zhì)相比，老官砬子斷面的糞大腸菌群指標(biāo)評(píng)價(jià)由清潔上升為良好，上升率為135.2%，浮游植物和底棲動(dòng)物均屬輕度污染，變化幅度不明顯，詳見(jiàn)表2。

3 水質(zhì)生物評(píng)價(jià)標(biāo)準(zhǔn)

多樣性指數(shù)評(píng)價(jià)：

糞大腸菌群：《地表水環(huán)境質(zhì)量標(biāo)準(zhǔn)》（GB3838-2002）地表水水質(zhì)分級(jí)法。

浮游植物、底棲動(dòng)物：Shannon-Weaver多樣性指數(shù)（H）評(píng)價(jià)方法，參考污水生物系統(tǒng)評(píng)價(jià)方法。

式中：H為多樣性指數(shù)；S為種類；ni為樣品中第i種生物個(gè)數(shù)，N為樣品中各種生物總個(gè)數(shù)。生物指標(biāo)評(píng)價(jià)標(biāo)準(zhǔn)見(jiàn)表3。

4 變化趨勢(shì)

4.1 變化趨勢(shì)

利用Spearman秩相關(guān)系數(shù)檢驗(yàn)法對(duì)“十二五”期間，太子河本溪段老官砬子斷面的生物指標(biāo)進(jìn)行污染變化趨勢(shì)分析檢驗(yàn)。結(jié)果表明，“十二五”期間太子河本溪段老官砬子斷面水質(zhì)生物指標(biāo)監(jiān)測(cè)中，糞大腸菌群有顯著上升趨勢(shì)，但不顯著；而浮游植物顯著有上升趨勢(shì)；底棲動(dòng)物不顯著。當(dāng)a=0.05，n=5，Wp=0.900時(shí)，檢驗(yàn)結(jié)果見(jiàn)表4。

水質(zhì)生物指標(biāo)污染變化趨勢(shì)檢驗(yàn)結(jié)果

太子河本溪段老官砬子斷面2011-2015年糞大腸菌群和浮游植物年際變化見(jiàn)圖1。由圖1可得，“十二五”期間太子河本溪段老官砬子斷面生物指標(biāo)監(jiān)測(cè)中，糞大腸菌群和浮游植物除2013年下降外，其它年年均指標(biāo)呈顯著上升趨勢(shì)。其中2015年糞大腸菌群監(jiān)測(cè)值為0.96萬(wàn)個(gè)/升，評(píng)價(jià)結(jié)果由“十一五”期間的清潔上升為“十二五”期間的良好，浮游植物多樣性指數(shù)為3.182，評(píng)價(jià)結(jié)果為輕度污染。

4.2 對(duì)策及建議

嚴(yán)格禁止在水源地保護(hù)區(qū)內(nèi)新建工業(yè)、規(guī)?；B(yǎng)殖和餐飲等污染項(xiàng)目，加強(qiáng)城市和農(nóng)村集中式飲用水源保護(hù)，保障飲用水的安全。強(qiáng)化水源地的水質(zhì)全分析工作，加強(qiáng)匯水區(qū)工業(yè)污染源有毒有害物質(zhì)管控，對(duì)其產(chǎn)生和排放嚴(yán)格管理，優(yōu)先控制。

[責(zé)任編輯：王楠]

and（select top 1 asc（mid（username，1，1））from admin）>99

and（select top 1 asc（mid（username，1，1））from admin）=100

解析一下這個(gè)語(yǔ)句的含義。就是一些函數(shù)的使用技巧， asc（） 負(fù)責(zé)查詢某個(gè)字符的ascii碼值，mid（addr，start，len）這個(gè)函數(shù)負(fù)責(zé)選取某個(gè)字符串中從start開始len位的字符。本語(yǔ)句就是取出字符串的第一個(gè)字符了。當(dāng)然第二個(gè)字符：

and（select top 1 asc（mid（username，2，1））from admin）>99就是這樣算的了，取出每一位的結(jié)果之后，轉(zhuǎn)換為對(duì)應(yīng)的字符就是用戶名或者密碼了。

這就是為什么猜解表名、字段的時(shí)候，都是一條一條的出結(jié)果，而猜解字段值的時(shí)候，是一個(gè)字符一個(gè)字符的出結(jié)果了。

3 SQL注入攻擊的防御辦法

知道了黑客入侵的原理，也就知道怎么對(duì)應(yīng)的做好防護(hù)了。從阿D注入工具入侵的步驟來(lái)看，主要就是通過(guò)提交非法SQL語(yǔ)句，根據(jù)不同的返回信息來(lái)確定猜測(cè)的表名、字段名、字段值是否正確，通過(guò)不斷的窮舉，最終猜解到準(zhǔn)確的表名、字段名、字段值。所以防御的辦法就是阻斷猜解過(guò)程，一是不讓非法SQL語(yǔ)句提交、執(zhí)行，二是不讓出錯(cuò)信息在瀏覽器端顯示出來(lái)。下面詳細(xì)敘述：

1）對(duì)用戶在地址欄的輸入、傳入的Request函數(shù)等進(jìn)行校驗(yàn)，通過(guò)正則表達(dá)式，對(duì)單引號(hào)、SQL語(yǔ)句等進(jìn)行判斷和過(guò)濾，阻止非法SQL語(yǔ)句的執(zhí)行，防止SQL注入。

2）修改web服務(wù)器參數(shù)設(shè)置。SQL注入入侵是根據(jù)web服務(wù)錯(cuò)誤提示信息來(lái)獲取信息進(jìn)行入侵的。可以把web服務(wù)器設(shè)置成不管出什么樣的錯(cuò)誤，只給出一種錯(cuò)誤提示信息，即http 500錯(cuò)誤，攻擊者就沒(méi)辦法從提示信息中獲取有用信息進(jìn)行入侵了，注入工具也沒(méi)有辦法了。這個(gè)方法即簡(jiǎn)單又有效，缺點(diǎn)就是代碼出錯(cuò)時(shí)，會(huì)給程序的調(diào)試帶來(lái)很大的不便。不過(guò)，服務(wù)器畢竟不是測(cè)試代碼的地方，應(yīng)堅(jiān)持安全穩(wěn)定第一，事實(shí)上許多服務(wù)器的出錯(cuò)信息都是如此設(shè)置。

另外，利用檢測(cè)工具和手工檢測(cè)方法，對(duì)網(wǎng)站進(jìn)行檢測(cè)，一旦發(fā)現(xiàn)存在漏洞，就對(duì)被注入的地址進(jìn)行參數(shù)過(guò)濾和檢查。

【參考文獻(xiàn)】

[1]方偉，方欣，一個(gè)通用防止SQL注入系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].湖南理工學(xué)院學(xué)報(bào)：自然科學(xué)版，2012，12：25（4）.

[2]楊省偉，楊浩杰.SQL注入數(shù)據(jù)庫(kù)攻擊與防御技術(shù)研究[J].長(zhǎng)沙大學(xué)學(xué)報(bào)，2013，9：27（5）.

[3]吳金秀.SQL注入攻擊與防御[J].陜西交通職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2012（4）.

[責(zé)任編輯：王偉平]