王雪

老官砬子位于太子河干流，本溪市明山區(qū)牛心臺鎮(zhèn)梁家村，本溪縣與本溪市交界處，屬河流型地表水，于2003年啟用。老官砬子是本溪市最大的集中飲用水源地，設(shè)計年取水量為12775萬噸，供給本溪市區(qū)、石橋子開發(fā)區(qū)及本鋼廠區(qū)生活飲用，服務(wù)人口78.9萬人。

“十二五”期間，太子河本溪段老官砬子斷面水質(zhì)生物監(jiān)測指標(biāo)主要為糞大腸菌群、浮游植物和底棲動物。分析方法采用國家環(huán)保局《環(huán)境監(jiān)測技術(shù)規(guī)范——生物監(jiān)測（水環(huán)境）》部分進行。

1 河流生物監(jiān)測評價結(jié)果

“十二五”期間，太子河本溪段河流水質(zhì)中，老官砬子斷面糞大腸菌群屬良好，浮游植物和底棲動物屬輕度污染，詳見表1。

2 “十二五”與“十一五”期間河流生物指標(biāo)比較

“十二五”與“十一五”期間太子河本溪段河流水質(zhì)相比，老官砬子斷面的糞大腸菌群指標(biāo)評價由清潔上升為良好，上升率為135.2%，浮游植物和底棲動物均屬輕度污染，變化幅度不明顯，詳見表2。

3 水質(zhì)生物評價標(biāo)準(zhǔn)

多樣性指數(shù)評價：

糞大腸菌群：《地表水環(huán)境質(zhì)量標(biāo)準(zhǔn)》（GB3838-2002）地表水水質(zhì)分級法。

浮游植物、底棲動物：Shannon-Weaver多樣性指數(shù)（H）評價方法，參考污水生物系統(tǒng)評價方法。

式中：H為多樣性指數(shù)；S為種類；ni為樣品中第i種生物個數(shù)，N為樣品中各種生物總個數(shù)。生物指標(biāo)評價標(biāo)準(zhǔn)見表3。

4 變化趨勢

4.1 變化趨勢

利用Spearman秩相關(guān)系數(shù)檢驗法對“十二五”期間，太子河本溪段老官砬子斷面的生物指標(biāo)進行污染變化趨勢分析檢驗。結(jié)果表明，“十二五”期間太子河本溪段老官砬子斷面水質(zhì)生物指標(biāo)監(jiān)測中，糞大腸菌群有顯著上升趨勢，但不顯著；而浮游植物顯著有上升趨勢；底棲動物不顯著。當(dāng)a=0.05，n=5，Wp=0.900時，檢驗結(jié)果見表4。

水質(zhì)生物指標(biāo)污染變化趨勢檢驗結(jié)果

太子河本溪段老官砬子斷面2011-2015年糞大腸菌群和浮游植物年際變化見圖1。由圖1可得，“十二五”期間太子河本溪段老官砬子斷面生物指標(biāo)監(jiān)測中，糞大腸菌群和浮游植物除2013年下降外，其它年年均指標(biāo)呈顯著上升趨勢。其中2015年糞大腸菌群監(jiān)測值為0.96萬個/升，評價結(jié)果由“十一五”期間的清潔上升為“十二五”期間的良好，浮游植物多樣性指數(shù)為3.182，評價結(jié)果為輕度污染。

4.2 對策及建議

嚴格禁止在水源地保護區(qū)內(nèi)新建工業(yè)、規(guī)?；B(yǎng)殖和餐飲等污染項目，加強城市和農(nóng)村集中式飲用水源保護，保障飲用水的安全。強化水源地的水質(zhì)全分析工作，加強匯水區(qū)工業(yè)污染源有毒有害物質(zhì)管控，對其產(chǎn)生和排放嚴格管理，優(yōu)先控制。

[責(zé)任編輯：王楠]

and（select top 1 asc（mid（username，1，1））from admin）>99

and（select top 1 asc（mid（username，1，1））from admin）=100

解析一下這個語句的含義。就是一些函數(shù)的使用技巧， asc（） 負責(zé)查詢某個字符的ascii碼值，mid（addr，start，len）這個函數(shù)負責(zé)選取某個字符串中從start開始len位的字符。本語句就是取出字符串的第一個字符了。當(dāng)然第二個字符：

and（select top 1 asc（mid（username，2，1））from admin）>99就是這樣算的了，取出每一位的結(jié)果之后，轉(zhuǎn)換為對應(yīng)的字符就是用戶名或者密碼了。

這就是為什么猜解表名、字段的時候，都是一條一條的出結(jié)果，而猜解字段值的時候，是一個字符一個字符的出結(jié)果了。

3 SQL注入攻擊的防御辦法

知道了黑客入侵的原理，也就知道怎么對應(yīng)的做好防護了。從阿D注入工具入侵的步驟來看，主要就是通過提交非法SQL語句，根據(jù)不同的返回信息來確定猜測的表名、字段名、字段值是否正確，通過不斷的窮舉，最終猜解到準(zhǔn)確的表名、字段名、字段值。所以防御的辦法就是阻斷猜解過程，一是不讓非法SQL語句提交、執(zhí)行，二是不讓出錯信息在瀏覽器端顯示出來。下面詳細敘述：

1）對用戶在地址欄的輸入、傳入的Request函數(shù)等進行校驗，通過正則表達式，對單引號、SQL語句等進行判斷和過濾，阻止非法SQL語句的執(zhí)行，防止SQL注入。

2）修改web服務(wù)器參數(shù)設(shè)置。SQL注入入侵是根據(jù)web服務(wù)錯誤提示信息來獲取信息進行入侵的?？梢园褀eb服務(wù)器設(shè)置成不管出什么樣的錯誤，只給出一種錯誤提示信息，即http 500錯誤，攻擊者就沒辦法從提示信息中獲取有用信息進行入侵了，注入工具也沒有辦法了。這個方法即簡單又有效，缺點就是代碼出錯時，會給程序的調(diào)試帶來很大的不便。不過，服務(wù)器畢竟不是測試代碼的地方，應(yīng)堅持安全穩(wěn)定第一，事實上許多服務(wù)器的出錯信息都是如此設(shè)置。

另外，利用檢測工具和手工檢測方法，對網(wǎng)站進行檢測，一旦發(fā)現(xiàn)存在漏洞，就對被注入的地址進行參數(shù)過濾和檢查。

【參考文獻】

[1]方偉，方欣，一個通用防止SQL注入系統(tǒng)的設(shè)計與實現(xiàn)[J].湖南理工學(xué)院學(xué)報：自然科學(xué)版，2012，12：25（4）.

[2]楊省偉，楊浩杰.SQL注入數(shù)據(jù)庫攻擊與防御技術(shù)研究[J].長沙大學(xué)學(xué)報，2013，9：27（5）.

[3]吳金秀.SQL注入攻擊與防御[J].陜西交通職業(yè)技術(shù)學(xué)院學(xué)報，2012（4）.

[責(zé)任編輯：王偉平]