阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。【说明】某高校开发了一套基于Web的教务管理系统，实现教务管理人员课程设置、学生选课和成绩查询、教师上传成绩以及特殊情况下教务处对成绩进行修改等功能。系统基于Java EE平台实现，

admin2015-05-21 33

问题阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。
【说明】
某高校开发了一套基于Web的教务管理系统，实现教务管理人员课程设置、学生选课和成绩查询、教师上传成绩以及特殊情况下教务处对成绩进行修改等功能。系统基于Java EE平台实现，采用表单(Form)实现用户数据的提交并与用户交互。
  系统要支持：
  (1)在特定时期内100个用户并发时，主要功能的处理能力至少要达到10个请求／秒，平均数据量8KB／请求；
  (2)用户可以通过不同的移动设备、操作系统和浏览器进行访问。
系统实现时，对成绩更新所用的SQL语句如下：
“UPDATE StudentScore SET score==”+intClientSubmitScore+“WHERE Stuent_ID=‘”+strStudentlD+‘‘’：”
设计1个测试用例，以测试该SQL语句是否能防止SQL注入，并说明该语句是否能防止SQL注入，以及如何防止SQL注入。

选项

答案设计如下测试： (1)intClientSubmitScore：100--，strStudentlD：20130002，则该SQL变为： UPDATE StudentScore SET score=100 一一WHERE Student—ID=’20130002’； (2)intClientSubmitScore：100，strStudentlD：20130002’：DROP TABLE StudentScore-，则该SQL语句变为： UPDATE StudentScore SET score=100 WHERE Student—ID=’20130002’；DROP TABLE StudentScore一’；从测试用例所拼接处的SQL可以看出，该SQL语句不安全，容易造成SQL注入。防止SQL注入的方法主要有：拼接SQL之前对特殊符号进行转义，使其不作为SQL语句的功能符号。

解析本问题考查Web应用安全性方面的SQL注入，SQL注入是Web应用安全性测试的重要方面。
许多Web应用系统采用某种数据库，接收用户从Web页面中输入，完成展示相关存储的数据(如检查用户登录信息)、将输入数据存储到数据库(如用户输入表单中数据域并点击提交后，系统将信息存入数据库)等操作。在有些情况下，将用户输入的数据和设计好的SQL框架拼接后提交给数据库执行，就可能存在用户输入的数据并非设计的正确格式，从而给恶意用户提供了破坏的机会。即SQL注入。恶意用户输入不期望的数据，拼接后提交给数据库执行，造成可能使用其他用户身份、查看其他用户的私密信息，还可能修改数据库的结构，甚至是删除应用的数据库表等严重后果。因此需要在测试阶段进行认真严格的测试。
本系统实现时，对成绩更新所用的如下8QL语句：
“UPDATE StudentScore SET score=”+intClientSubmitScore+”WHERE Stuent_ID= ’ "+StrStuden’tID+”’；”
采用拼接字符串方式，无法防止SQL注入。例如intClientSubmitScore：100-，strStudentID：20130002，则该SQL变为：
UPDATE StudentScore SET score=100一一WHERE Stuent—ID=’20130002’；
一是SQL中注释符号，其后的内容为注释，这样上述语句中一之后的内容变为注释，只要StudentScore表中所有的记录的score都变为100，而没有受到WHERE子句后的学号限制。
再比如intClientSubmitScore：100，strStudentID：20130002’or’a’=’a，则该SQL变为：
UPDATE StudentScore SET score。100 WHERE Stuent—ID=’20130002’or’a’=’a；
因为’a’=’a’条件总是成立，因此，SQL执行结果包括学生成绩表中所有行的score都更新为100分。
更为严重的情况下，用户输入DROP等功能性命令，会造成数据库表的永久删除等严重后果，如strStudentID：20130002’；DROP TABLE StudentScore-，则该SQL语句变为：
UPDATE StudentScore SET score=100 WHERE Stuent—ID=’20130002’；DROP TABLE
StudentScore--’；
防止SQL注入的方法主要有：拼接SQL之前对特殊符号进行转义或者等价方式，使其不作为SQL语句的功能符号。验证所有输入数据能从输入层面防止SQL注入。
SQL注入在使用SSL的应用中仍然存在，甚至是防火墙也无法防止SQL注入。因此，在测试Web应用时，需要认真仔细设计测试用例，采用Web漏洞扫描工具等进行检查，以保证不存在SQL注入机会。

转载请注明原文地址:https://www.kaotiyun.com/show/v7WZ777K

本试题收录于：软件评测师下午应用技术考试题库软考中级分类

软件评测师下午应用技术考试

软考中级

相关试题推荐

随机试题

最新回复(0)

软件评测师下午应用技术考试

软考中级

现代工程管理通常使用变更控制系统控制项目变更。变更控制系统包括()。①配置管理②变更控制委员会③项目竣工验收小组④变更沟通过程所产生的信息

某信息系统工程项目承建单位决定采用效率高的公共构件库，预计11月30日变更在用的信息系统项目的工程方案，最晚应在()向监理工程师提出变更要求，提交出面工程变更建议书。

关于质量控制的描述，不正确的是()。

监理工程师刘工按正常的程序和方法对承建单位开发过程进行了检查和监督，未发现任何问题，系统上线后，发现由于系统设计卜一缺陷而导致无法满足实际应用要求。从风险角度，这种系统设计的风险属于()。

根据软件项目的规模等级和安全性等级、软件测试可由不同机构组织实施。集成测试通常由()组织实施。

接入层交换机的功能不包括()。

知识产权保护的监理应该坚持全过程的管理，管理措施不包括()。

类库、构件、模板和框架是软件开发过程中常用的几种提高软件质量、降低开发工作量的软件复用技术。()是面向对象的类库的扩展，并由一个应用相关联构件家族构成，这些构件协同工作形成了它的基本结构骨架。

软件维护包含更正性维护、适应性维护、预防性维护、完善性维护。()属于完善性维护。

信息系统工程建设过程中要控制需求变更。以下监理人员必须遵守的原则，错误的是(60)。

与报纸产量有关的统计指标的基本单位是【】

电子商务战略分析工具中，一个对外部环境进行分析的常用分析工具指的是

A．处方药B．非处方药C．甲类非处方药D．乙类非处方药E．国家基本药物由国家药品监督管理局公布的、不需要凭执业医师或执业助理医师处方，消费者可自行判断、购买和使用的药品是()

在高空作业时,工具必须放在（）。

根据《生产安全事故报告和调查处理条例》，符合施工生产安全事故报告要求的做法是()。[2015年真题]

招股说明书全文文本封面应标有“×××公司首次公开发行股票招股说明书”字样，并载明发行人、保荐人、主承销商的名称和住所。()

茶叶按制作季节，可分为春茶、夏茶、秋茶和冬茶。

Oneofthefirstlessonsthatyoulearnifyouwanttobeapainteristhatittakesonlyafewbasiccolorstomixjustabouta

ShouldMedicalSchoolsTurntoThree-yearPrograms?[A]ForTravisHill,itwasanoffertoogoodtorefuse.Lastyearwhen