阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。【说明】某高校开发了一套基于Web的教务管理系统，实现教务管理人员课程设置、学生选课和成绩查询、教师上传成绩以及特殊情况下教务处对成绩进行修改等功能。系统基于Java EE平台实现，

admin2015-05-21 45

问题阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。
【说明】
某高校开发了一套基于Web的教务管理系统，实现教务管理人员课程设置、学生选课和成绩查询、教师上传成绩以及特殊情况下教务处对成绩进行修改等功能。系统基于Java EE平台实现，采用表单(Form)实现用户数据的提交并与用户交互。
  系统要支持：
  (1)在特定时期内100个用户并发时，主要功能的处理能力至少要达到10个请求／秒，平均数据量8KB／请求；
  (2)用户可以通过不同的移动设备、操作系统和浏览器进行访问。
系统实现时，对成绩更新所用的SQL语句如下：
“UPDATE StudentScore SET score==”+intClientSubmitScore+“WHERE Stuent_ID=‘”+strStudentlD+‘‘’：”
设计1个测试用例，以测试该SQL语句是否能防止SQL注入，并说明该语句是否能防止SQL注入，以及如何防止SQL注入。

选项

答案设计如下测试： (1)intClientSubmitScore：100--，strStudentlD：20130002，则该SQL变为： UPDATE StudentScore SET score=100 一一WHERE Student—ID=’20130002’； (2)intClientSubmitScore：100，strStudentlD：20130002’：DROP TABLE StudentScore-，则该SQL语句变为： UPDATE StudentScore SET score=100 WHERE Student—ID=’20130002’；DROP TABLE StudentScore一’；从测试用例所拼接处的SQL可以看出，该SQL语句不安全，容易造成SQL注入。防止SQL注入的方法主要有：拼接SQL之前对特殊符号进行转义，使其不作为SQL语句的功能符号。

解析本问题考查Web应用安全性方面的SQL注入，SQL注入是Web应用安全性测试的重要方面。
许多Web应用系统采用某种数据库，接收用户从Web页面中输入，完成展示相关存储的数据(如检查用户登录信息)、将输入数据存储到数据库(如用户输入表单中数据域并点击提交后，系统将信息存入数据库)等操作。在有些情况下，将用户输入的数据和设计好的SQL框架拼接后提交给数据库执行，就可能存在用户输入的数据并非设计的正确格式，从而给恶意用户提供了破坏的机会。即SQL注入。恶意用户输入不期望的数据，拼接后提交给数据库执行，造成可能使用其他用户身份、查看其他用户的私密信息，还可能修改数据库的结构，甚至是删除应用的数据库表等严重后果。因此需要在测试阶段进行认真严格的测试。
本系统实现时，对成绩更新所用的如下8QL语句：
“UPDATE StudentScore SET score=”+intClientSubmitScore+”WHERE Stuent_ID= ’ "+StrStuden’tID+”’；”
采用拼接字符串方式，无法防止SQL注入。例如intClientSubmitScore：100-，strStudentID：20130002，则该SQL变为：
UPDATE StudentScore SET score=100一一WHERE Stuent—ID=’20130002’；
一是SQL中注释符号，其后的内容为注释，这样上述语句中一之后的内容变为注释，只要StudentScore表中所有的记录的score都变为100，而没有受到WHERE子句后的学号限制。
再比如intClientSubmitScore：100，strStudentID：20130002’or’a’=’a，则该SQL变为：
UPDATE StudentScore SET score。100 WHERE Stuent—ID=’20130002’or’a’=’a；
因为’a’=’a’条件总是成立，因此，SQL执行结果包括学生成绩表中所有行的score都更新为100分。
更为严重的情况下，用户输入DROP等功能性命令，会造成数据库表的永久删除等严重后果，如strStudentID：20130002’；DROP TABLE StudentScore-，则该SQL语句变为：
UPDATE StudentScore SET score=100 WHERE Stuent—ID=’20130002’；DROP TABLE
StudentScore--’；
防止SQL注入的方法主要有：拼接SQL之前对特殊符号进行转义或者等价方式，使其不作为SQL语句的功能符号。验证所有输入数据能从输入层面防止SQL注入。
SQL注入在使用SSL的应用中仍然存在，甚至是防火墙也无法防止SQL注入。因此，在测试Web应用时，需要认真仔细设计测试用例，采用Web漏洞扫描工具等进行检查，以保证不存在SQL注入机会。

转载请注明原文地址:https://www.kaotiyun.com/show/v7WZ777K

本试题收录于：软件评测师下午应用技术考试题库软考中级分类

软件评测师下午应用技术考试

软考中级

相关试题推荐

随机试题

最新回复(0)

软件评测师下午应用技术考试

软考中级

信息系统工程是指信息系统的新建、升级、改造工程。其中，()是用于信息处理、传输、交换和分发的信息化基础设施。

关于质量控制点的说法，不正确的是()。

()不属于软件配置管理过程需满足的要求。

在机房和综合布线工程实施过程中，关于金属线槽安装要求，不正确的是()。

关于信息工程项目质量控制的描述，不正确的是()。

原型法是面向用户需求而开发的一个或多个工作模型，以下关于原型法的叙述不正确的是______。

监理在监控变更实施的过程中，发现如继续按照变更后的方案实施，将可能造成更大的损失。这种情况下，监理单位首先应该______。

如果通过局域网连接互联网，需要设置TCP／IP协议属性，其中不需要针对(6)指定IP地址。

软件测试方法可分为白盒测试法和黑盒测试法。黑盒测试法可以发现的软件问题不包含()。

工程质量控制过程中，设置质量控制点的作用包括______。①可以将复杂的工程质量总目标分解为简单分项的目标②可以直接减少质量问题的产生③有利于制定、实施纠偏措施和控制对策④能够保证质量问题的彻底解决

KeyJames,SecretaryofHealthandHumanResourcesintheVirginiaStategovernment,lovestoturnthetablesonthosewhodon’t

Hegotexcitedatthenews,_____Iwascalm.

羊，5月龄。体瘦毛焦，不思草料，拉稀。证见慢草不食，腹痛泄泻，完谷不化，口色淡白，脉象沉细。若选用中药治疗，应以下述哪个方剂为主进行加减。

红细胞成熟因子是()。

属于一线抗结核药的有()。

对新进导游人员的()主要包括全面考核和择优录用两个方面。

新中国成立后，国家对私人资本主义工商业采取的赎买政策有()。

InBritain,strictlyspeaking,therearethreeelementsinParliament—theCrown,theHouseofLordsandtheHouseofCommons.