證券交易業(yè)務(wù)網(wǎng)站安全解決方案北京中軟華泰信息技術(shù)有限責(zé)任公司2008-5-10 ,目 錄1. 證券交易業(yè)務(wù)網(wǎng)站安全形勢(shì) .......................

證券交易業(yè)務(wù)網(wǎng)站

安全解決方案

北京中軟華泰信息技術(shù)有限責(zé)任公司

2008-5-10

目 錄

1. 證券交易業(yè)務(wù)網(wǎng)站安全形勢(shì) .......................................................................................................... 3

2. 證券交易業(yè)務(wù)網(wǎng)站安全需求及現(xiàn)有技術(shù)現(xiàn)狀 ............................................................................. 4

2.1 網(wǎng)站常見攻擊分析 ................................................................................................................. 4

2.1.1 惡意代碼攻擊 . ............................................................................................................. 4

2.1.2 利用系統(tǒng)漏洞的攻擊 ................................................................................................. 4

2.1.3 XSS 攻擊 . .................................................................................................................... 4

2.1.4 DDoS/DoS攻擊 ......................................................................................................... 5

2.1.5 SQL注入攻擊 ............................................................................................................ 5

2.2 目前已有網(wǎng)站防護(hù)技術(shù)及其缺陷分析................................................................................ 6

2.2.1 傳統(tǒng)防惡意代碼技術(shù)弊端 . ........................................................................................ 6

2.2.2 常見網(wǎng)頁(yè)防篡改技術(shù)及其缺陷................................................................................. 6

2.2.3 防SQL 注入技術(shù)情況 . ................................................................................................. 7

3. 華泰證券交易業(yè)務(wù)網(wǎng)站安全解決方案 . ......................................................................................... 8

3.1

3.2 網(wǎng)站防護(hù)方案概述 . ........................................................................................................... 8 HuaTech 網(wǎng)站防護(hù)系統(tǒng)具體技術(shù)方案 ............................................................................ 9

3.2.1 惡意代碼主動(dòng)防御 ..................................................................................................... 9

3.2.2 網(wǎng)頁(yè)的文件過濾驅(qū)動(dòng)保護(hù) . ...................................................................................... 10

3.2.3 防跨站攻擊 . ............................................................................................................... 10

3.2.4 防SQL 注入 ................................................................................................................ 10

3.2.5 雙機(jī)熱備 .................................................................................................................... 11

3.2.6 自身抗網(wǎng)絡(luò)攻擊能力 ............................................................................................... 11

3.2.7采用內(nèi)核性能優(yōu)化和安全加固技術(shù) ....................................................................... 11

3.3 方案創(chuàng)新內(nèi)容 .................................................................................................................. 12

3.3.1 對(duì)未知病毒具備免疫能力 . ...................................................................................... 12

3.3.2 更有效的網(wǎng)頁(yè)防篡改技術(shù) . ...................................................................................... 12

3.3.3 更簡(jiǎn)便的布署與管理過程 . ...................................................................................... 12 4. 系統(tǒng)部署方案 ................................................................................................................................ 13

1. 證券交易業(yè)務(wù)網(wǎng)站安全形勢(shì)

隨著證券交易業(yè)務(wù)的快速發(fā)展，越來越多的人開始選擇通過網(wǎng)絡(luò)查詢交易相關(guān)信息、實(shí)現(xiàn)網(wǎng)上交易。目前，我國(guó)的各種證券交易機(jī)構(gòu)，紛紛建立了網(wǎng)上查詢交易系統(tǒng)，方便、快捷的交易特點(diǎn)促使這幾年我國(guó)的網(wǎng)上證券用戶數(shù)量急劇增長(zhǎng)。在這種環(huán)境下，信息安全問題已經(jīng)成為證券交易業(yè)務(wù)發(fā)展中亟待解決的重要問題。

證券交易業(yè)務(wù)系統(tǒng)主要包括三個(gè)關(guān)鍵組成部分：證券交易服務(wù)器、證券交易客戶端以及傳輸過程。其中，證券交易網(wǎng)站服務(wù)器的安全是重中之重。網(wǎng)站因需要被公眾訪問而暴露于因特網(wǎng)上，由于處于一個(gè)相對(duì)開放的環(huán)境中，加之各類網(wǎng)頁(yè)應(yīng)用系統(tǒng)的復(fù)雜性和多樣性導(dǎo)致系統(tǒng)漏洞層出不窮，極易成為黑客的攻擊目標(biāo)。根據(jù)CNCERT 調(diào)查報(bào)告顯示，2007年上半年，中國(guó)大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢(shì)，被篡改網(wǎng)站總數(shù)達(dá)到28367個(gè)，比去年全年增加了近16。而僅在2007年11月1日至30日，大陸地區(qū)被篡改網(wǎng)站的數(shù)量就達(dá)到了5499個(gè)，較上月增加537個(gè)，其中代號(hào)為“Kml! ”和“@SL@N_BEY”的攻擊者對(duì)大陸網(wǎng)站進(jìn)行了大量的篡改。針對(duì)金融類網(wǎng)站的攻擊事件也呈不斷上升趨勢(shì)。2005年，美國(guó)爆發(fā)了當(dāng)今最大的金融數(shù)據(jù)泄密事件，有黑客侵入了為萬事達(dá)、Visa 、AmericanExpress 和Discover 服務(wù)的“信用卡第三方付款處理器”的網(wǎng)絡(luò)系統(tǒng)，造成4000多萬信用卡用戶的數(shù)據(jù)資料被竊；2006年，某犯罪組織竟然在某銀行的證券交易服務(wù)器內(nèi)成功植入了木馬程序，每隔0.5秒掃描一次，凡是此時(shí)登陸的客戶，其帳號(hào)和口令通通被竊取，這一事件甚至驚動(dòng)了國(guó)務(wù)院……。因此，提高證券交易網(wǎng)站的安全性刻不容緩。

1

2．證券交易業(yè)務(wù)網(wǎng)站安全需求及現(xiàn)有技術(shù)現(xiàn)狀

2.1 網(wǎng)站常見攻擊分析

目前常見的網(wǎng)站攻擊方式主要有利用系統(tǒng)漏洞的攻擊；利用病毒、蠕蟲、木馬和間諜軟件等惡意代碼實(shí)施攻擊；利用DOS 、DDOS 等攻擊方式以及SQL 注入等，這些攻擊方式無一例外地成為了威脅證券交易網(wǎng)站安全的因素。

2.1.1 惡意代碼攻擊

如今，惡意程序也以每天數(shù)百的數(shù)量激增。由于證券交易網(wǎng)站服務(wù)器的訪問量巨大，因此，惡意代碼攻擊者不僅把證券交易業(yè)務(wù)網(wǎng)站作為實(shí)施攻擊的重點(diǎn)目標(biāo)，而且還會(huì)把網(wǎng)站作為傳播惡意代碼的重要載體。新類型的病毒、木馬等出現(xiàn)后，其制造者通常會(huì)先選擇網(wǎng)站作為攻擊對(duì)象，在成功感染網(wǎng)站系統(tǒng)后采用網(wǎng)頁(yè)“掛馬”的方式向更多的終端機(jī)器傳播惡意代碼。

2.1.2 利用系統(tǒng)漏洞的攻擊

這種攻擊方式是使用緩沖區(qū)溢出方式獲得管理員權(quán)限，從而任意修改網(wǎng)頁(yè)內(nèi)容，竊取信息。系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計(jì)上的缺陷或在編寫時(shí)產(chǎn)生的錯(cuò)誤，這個(gè)缺陷或錯(cuò)誤可以被不法者或者電腦黑客利用，通過植入木馬、病毒等方式來攻擊或控制整個(gè)電腦，從而竊取電腦中的重要資料和信息，甚至破壞系統(tǒng)。

2.1.3 XSS攻擊

XSS 又叫CSS (Cross Site Script) ，即跨站腳本攻擊。它指的是惡意攻擊者往Web 頁(yè)面里插入惡意html 代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其Web 里面的html 代碼就會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。XSS 屬于被動(dòng)式的攻

2

擊，由于其被動(dòng)且不容易被發(fā)現(xiàn)，所以許多人經(jīng)常忽略其危害性。

2.1.4 DDoS/DoS攻擊

DoS （Denial of Service），即拒絕服務(wù)，是指攻擊者通過消耗受害網(wǎng)絡(luò)的帶寬，消耗受害主機(jī)的系統(tǒng)資源，發(fā)掘編程缺陷，提供虛假路由或DNS 信息，致使被攻擊目標(biāo)不能正常工作。

DDOS (Distributed Denial of Service)即分布式拒絕服務(wù)攻擊，相當(dāng)于DOS 攻擊的升級(jí)版，是同時(shí)發(fā)動(dòng)分布于全球的幾千臺(tái)主機(jī)對(duì)目的主機(jī)攻擊，即使對(duì)于帶寬較寬的站點(diǎn)也會(huì)產(chǎn)生致命的效果。

2.1.5 SQL注入攻擊

這種攻擊手法利用網(wǎng)頁(yè)漏洞使用SQL 注入攻擊方式，獲得系統(tǒng)或數(shù)據(jù)庫(kù)管理員權(quán)限，從而任意修改數(shù)據(jù)庫(kù)。所謂SQL 注入，就是通過把SQL 命令插入到Web 表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL 命令，比如很多網(wǎng)站泄露VIP 會(huì)員密碼大多就是通過WEB 表單遞交查詢字符暴露出來的，這類表單特別容易受到SQL 注入式攻擊。

例如某個(gè)ASP .NET Web應(yīng)用有一個(gè)登錄頁(yè)面，這個(gè)登錄頁(yè)面控制著用戶是否有權(quán)訪問應(yīng)用，它要求用戶輸入一個(gè)名稱和密碼。登錄頁(yè)面中輸入的內(nèi)容將直接用來構(gòu)造動(dòng)態(tài)的SQL 命令，或者直接用作存儲(chǔ)過程的參數(shù)。攻擊者在用戶名字和密碼輸入框中輸入“‘或’1‘=’1”之類的內(nèi)容。用戶輸入的內(nèi)容提交給服務(wù)器之后，服務(wù)器運(yùn)行上面的ASP .NET 代碼構(gòu)造出查詢用戶的SQL 命令，但由于攻擊者輸入的內(nèi)容非常特殊，所以最后得到的SQL 命令變成：SELECT * from Users WHERE login =‘’or ‘1’=‘1’AND password =‘’or ‘1’=‘1’。 服務(wù)器執(zhí)行查詢或存儲(chǔ)過程，將用戶輸入的身份信息和服務(wù)器中保存的身份信息進(jìn)行對(duì)比。由于SQL 命令實(shí)際上已被注入式攻擊修改，已經(jīng)不能真正驗(yàn)證用戶身份，所以系統(tǒng)會(huì)錯(cuò)誤地授權(quán)給攻擊者

3

2.2 目前已有網(wǎng)站防護(hù)技術(shù)及其缺陷分析

2.2.1 傳統(tǒng)防惡意代碼技術(shù)弊端

目前市場(chǎng)上的計(jì)算機(jī)病毒防殺類產(chǎn)品大都是基于惡意代碼特征指令序列的靜態(tài)判定方法形成的，這種技術(shù)的最嚴(yán)重缺陷是它不能對(duì)變體或未知特征的惡意代碼進(jìn)行判斷，其技術(shù)的先天安全滯后性已經(jīng)不能滿足用戶（尤其是像證券交易業(yè)務(wù)這樣關(guān)系到國(guó)家經(jīng)濟(jì)命脈和社會(huì)穩(wěn)定的業(yè)務(wù)）的安全要求。每一次的大規(guī)模病毒爆發(fā)都伴隨著用戶業(yè)務(wù)和經(jīng)濟(jì)上的巨大損失，因此，市場(chǎng)迫切需要一種更加積極主動(dòng)的安全技術(shù)和產(chǎn)品來阻止包括未知惡意代碼在內(nèi)的安全事件的發(fā)生。

2.2.2 常見網(wǎng)頁(yè)防篡改技術(shù)及其缺陷

目前市場(chǎng)上比較常見的網(wǎng)頁(yè)防篡改技術(shù)有以下三種：

1）外掛輪詢技術(shù)：利用一個(gè)網(wǎng)頁(yè)讀取和檢測(cè)程序，以輪詢方式讀出要監(jiān)控的網(wǎng)頁(yè)，與真實(shí)網(wǎng)頁(yè)相比較，來判斷網(wǎng)頁(yè)內(nèi)容的完整性，對(duì)于被篡改的網(wǎng)頁(yè)進(jìn)行報(bào)警和恢復(fù)。

2）核心內(nèi)嵌技術(shù)：將篡改檢測(cè)模塊內(nèi)嵌在Web 服務(wù)器軟件里，它在每一個(gè)網(wǎng)頁(yè)流出時(shí)都進(jìn)行完整性檢查，對(duì)于篡改網(wǎng)頁(yè)進(jìn)行實(shí)時(shí)訪問阻斷，并予以報(bào)警和恢復(fù)。

3）事件觸發(fā)技術(shù)：利用操作系統(tǒng)的文件系統(tǒng)或驅(qū)動(dòng)程序接口，在網(wǎng)頁(yè)文件的被修改時(shí)進(jìn)行合法性檢查，對(duì)于非法操作進(jìn)行報(bào)警和恢復(fù)。

外掛輪詢方式以輪詢方式檢測(cè)監(jiān)控網(wǎng)頁(yè)，在兩次檢測(cè)中間就會(huì)出現(xiàn)一個(gè)時(shí)間間隙，如果攻擊發(fā)生在這個(gè)時(shí)間間隙中，則被篡改的網(wǎng)頁(yè)內(nèi)容已經(jīng)被提供出去，危害已經(jīng)造成，再恢復(fù)就沒什么意義了。此外，由于從外部不斷地和獨(dú)立地掃描Web 服務(wù)器文件，對(duì)Web 服務(wù)器會(huì)形成相當(dāng)?shù)呢?fù)載，并且掃描頻度（亦即安全程度）和負(fù)載總是矛盾的。

核心內(nèi)嵌技術(shù)需要對(duì)每一個(gè)流出的網(wǎng)頁(yè)進(jìn)行完整性檢查，如果瀏覽人數(shù)眾多，網(wǎng)頁(yè)需要頻繁的被檢測(cè)，將會(huì)極大的影響系統(tǒng)的性能。另外，這項(xiàng)技術(shù)在

4

實(shí)現(xiàn)時(shí)需要備份要監(jiān)控的網(wǎng)頁(yè)，以便和流出的網(wǎng)頁(yè)進(jìn)行對(duì)比。但是，如果備份的網(wǎng)頁(yè)也被篡改，將會(huì)造成巨大的影響。

事件觸發(fā)技術(shù)的缺陷是需要不斷偵測(cè)受控網(wǎng)頁(yè)。如果是大中型網(wǎng)站，或者提供下載服務(wù)的網(wǎng)站，那么就需要對(duì)所有的網(wǎng)頁(yè)及文件進(jìn)行監(jiān)控，至使其設(shè)備會(huì)產(chǎn)生過大的壓力。另外，與核心內(nèi)嵌技術(shù)相同，事件觸發(fā)技術(shù)也需要備份要監(jiān)控的網(wǎng)頁(yè)，如果備份服務(wù)器也被篡改，則不可能再恢復(fù)正常。

以上三種方法的共同安全隱患是，需要備份要監(jiān)控的網(wǎng)頁(yè)，以便在網(wǎng)頁(yè)被篡改之后能夠恢復(fù)。但是，其備份服務(wù)器同時(shí)也面臨著被攻擊的風(fēng)險(xiǎn)，一旦備份的網(wǎng)頁(yè)也被篡改，就不再具有恢復(fù)的可能。

2.2.3 防SQL 注入技術(shù)情況

目前市場(chǎng)上常見的防止SQL 注入的方式為在網(wǎng)頁(yè)代碼中加入過濾語(yǔ)句，但這種方式是在應(yīng)用層基礎(chǔ)上實(shí)現(xiàn)，需要針對(duì)不同的網(wǎng)頁(yè)作不同的處理，不能通用。

5

3. 華泰證券交易業(yè)務(wù)網(wǎng)站安全解決方案

3.1 網(wǎng)站防護(hù)方案概述

HuaTech 網(wǎng)站防護(hù)系統(tǒng)方案，是華泰公司網(wǎng)絡(luò)安全研發(fā)團(tuán)隊(duì)在深厚技術(shù)積累和應(yīng)用實(shí)踐經(jīng)驗(yàn)的基礎(chǔ)上，對(duì)目前國(guó)內(nèi)外相關(guān)計(jì)算機(jī)數(shù)據(jù)進(jìn)行詳盡搜集、仔細(xì)研究，對(duì)同類安全產(chǎn)品進(jìn)行縱橫比較分析后，自主創(chuàng)新設(shè)計(jì)的一套針對(duì)證券交易業(yè)務(wù)網(wǎng)站的安全防護(hù)方案。

本方案試圖從以下幾方面提高證券交易服務(wù)器的安全性：

a) 通過信任鏈傳遞機(jī)制實(shí)現(xiàn)對(duì)證券交易服務(wù)器的應(yīng)用安全管理，阻止惡意代碼在證券交易服務(wù)器上傳播和運(yùn)行，從而保證證券交易業(yè)務(wù)正常、可信地運(yùn)行；

b) 通過“管道封裝技術(shù)”達(dá)到“網(wǎng)站安全防護(hù)”功能，防止溢出類黑客攻擊對(duì)證券交易服務(wù)器系統(tǒng)重要數(shù)據(jù)和信息（比如網(wǎng)頁(yè)）的篡改和破壞，并阻止黑客對(duì)證券交易服務(wù)器采取的SQL 注入攻擊和跨站攻擊，有效防范對(duì)證券交易數(shù)據(jù)庫(kù)的攻擊；

c) 通過在證券交易服務(wù)器前部署“網(wǎng)站保護(hù)墻”，對(duì)DDoS 攻擊等類型攻擊進(jìn)行有效過濾，阻止黑客對(duì)證券交易業(yè)務(wù)服務(wù)的破壞。

整個(gè)系統(tǒng)由軟件和硬件部分共同組成，主要實(shí)現(xiàn)了惡意代碼主動(dòng)防御、網(wǎng)頁(yè)的文件過濾驅(qū)動(dòng)保護(hù)、防SQL 注入、雙機(jī)熱備、抗網(wǎng)絡(luò)攻擊能力等功能。以期防止黑客入侵、網(wǎng)站篡改，從而更有效地對(duì)網(wǎng)站網(wǎng)頁(yè)安全進(jìn)行保護(hù)。 HuaTech 網(wǎng)站防護(hù)系統(tǒng)由惡意代碼主動(dòng)防御子系統(tǒng)、網(wǎng)頁(yè)防篡改子系統(tǒng)和Web Wall 子系統(tǒng)等三部分構(gòu)成。其中惡意代碼主動(dòng)防御子系統(tǒng)、網(wǎng)頁(yè)防篡改子系統(tǒng)為軟件實(shí)現(xiàn)，Web Wall子系統(tǒng)是一個(gè)高速穩(wěn)定的硬件平臺(tái)和經(jīng)過安全加固的操作系統(tǒng)的組合。

配置管理器（軟件）：系統(tǒng)提供了GUI 管理程序，用于網(wǎng)站防護(hù)系統(tǒng)進(jìn)行配置及日常管理，其中GUI 管理器支持遠(yuǎn)程集中統(tǒng)一管理。管理軟件均可運(yùn)行于Microsoft Windows /2000/XP/2003 環(huán)境下。

配置管理界面：系統(tǒng)支持兩種配置管理界面，（1）GUI 管理界面管理方式，

6

用于網(wǎng)站防護(hù)系統(tǒng)進(jìn)行配置及日常管理，其中GUI 管理器支持遠(yuǎn)程集中統(tǒng)一管理。管理軟件均可運(yùn)行于Microsoft Windows /2000/XP/2003 環(huán)境下。（2）Web 界面管理方式，網(wǎng)站防護(hù)系統(tǒng)可以通過Web 界面進(jìn)行統(tǒng)一集中管理。

圖1給出了HuaTech

網(wǎng)站防護(hù)系統(tǒng)體系結(jié)構(gòu)。

圖1：證券交易業(yè)務(wù)網(wǎng)站防護(hù)系統(tǒng)體系結(jié)構(gòu)

3.2 HuaTech 網(wǎng)站防護(hù)系統(tǒng)具體技術(shù)方案 3.2.1 惡意代碼主動(dòng)防御

通過利用信任鏈機(jī)制，對(duì)系統(tǒng)中所有裝載的可執(zhí)行文件代碼（例如EXE 、DLL 、COM 等）進(jìn)行控制，所有可執(zhí)行文件代碼在加載運(yùn)行之間都需要先經(jīng)過檢驗(yàn)，只有通過驗(yàn)證的代碼才可以加載，從而有效地阻止惡意代碼的運(yùn)行。驗(yàn)證方法為：首先為系統(tǒng)制定可信白名單，即允許執(zhí)行代碼文件的hash ，在進(jìn)程裝載二進(jìn)制文件之前首先計(jì)算其hash 值，并與可信白名單進(jìn)行比較，不在白名單中的一概不允許執(zhí)行，這樣既可以防止惡意代碼運(yùn)行，又可以防止惡意代碼依附其他系統(tǒng)或應(yīng)用程序運(yùn)行，確保執(zhí)行代碼的真實(shí)性和完整性，同時(shí)效率上不會(huì)有明顯影響。

7

3.2.2 網(wǎng)頁(yè)的文件過濾驅(qū)動(dòng)保護(hù)

利用操作系統(tǒng)漏洞，應(yīng)用緩沖區(qū)溢出等方法可以獲得管理員權(quán)限，從而可以任意修改網(wǎng)頁(yè)文件，以達(dá)到攻擊的目的。針對(duì)這種攻擊方式，采用安全管道封裝技術(shù)來保護(hù)網(wǎng)頁(yè)不被篡改。即網(wǎng)站管理員可以自行選擇需要保護(hù)的網(wǎng)頁(yè)文件并將之設(shè)定為受控對(duì)象，對(duì)于每一個(gè)受保護(hù)的對(duì)象，管理員為其設(shè)定一個(gè)對(duì)象相關(guān)授權(quán)碼。對(duì)于所有受保護(hù)的對(duì)象，網(wǎng)站防護(hù)系統(tǒng)在操作系統(tǒng)內(nèi)核對(duì)其加以保護(hù)，在不知道對(duì)象相關(guān)授權(quán)碼的情況下，即使是系統(tǒng)管理員，系統(tǒng)也禁止其對(duì)受保護(hù)對(duì)象（比如主頁(yè)）進(jìn)行任何特定操作，例如修改內(nèi)容、刪除、重命名等。

通過安全管道封裝技術(shù)，即使攻擊者拿到系統(tǒng)管理員的權(quán)限，由于不知道受控對(duì)象的授權(quán)碼，因而也無法對(duì)其進(jìn)行修改，從而可以有效阻止溢出類攻擊對(duì)系統(tǒng)網(wǎng)頁(yè)的篡改。

對(duì)于Web 服務(wù)（例如IIS 、APACHE ）的相關(guān)配置文件也采用同樣的方式進(jìn)行保護(hù)，防止通過修改配置文件達(dá)到篡改網(wǎng)頁(yè)的目的。

需要指出的是由于對(duì)于受保護(hù)對(duì)象的讀操作沒有任何的限制，因而可以保證Web 正常向外提供服務(wù)。只有在提供授權(quán)碼的情況下才可以對(duì)受保護(hù)對(duì)象進(jìn)行修改，使得管理員可以方便的更新網(wǎng)頁(yè)內(nèi)容。

3.2.3 防跨站攻擊

跨站攻擊的攻擊者通過向Web 頁(yè)面里插入惡意html 代碼，從而達(dá)到特殊目的。網(wǎng)站防護(hù)系統(tǒng)通過先進(jìn)的數(shù)據(jù)包正則表達(dá)式匹配原理，可以準(zhǔn)確地過濾數(shù)據(jù)包中含有的跨站攻擊的關(guān)鍵字。從而保護(hù)用戶的WEB 服務(wù)器安全。

3.2.4 防SQL 注入

使用硬件模塊截獲所有收到的網(wǎng)絡(luò)數(shù)據(jù)包，在URL 地址中查找是否有這些關(guān)鍵字的存在，如果發(fā)現(xiàn)數(shù)據(jù)包中包含這些關(guān)鍵字，則將該數(shù)據(jù)包丟掉，從而過濾掉SQL 注入攻擊所使用的注入代碼，保證數(shù)據(jù)庫(kù)的安全，防止非法修改數(shù)

8