王雪
老官砬子位于太子河干流,本溪市明山區(qū)牛心臺鎮(zhèn)梁家村,本溪縣與本溪市交界處,屬河流型地表水,于2003年啟用。老官砬子是本溪市最大的集中飲用水源地,設(shè)計年取水量為12775萬噸,供給本溪市區(qū)、石橋子開發(fā)區(qū)及本鋼廠區(qū)生活飲用,服務(wù)人口78.9萬人。
“十二五”期間,太子河本溪段老官砬子斷面水質(zhì)生物監(jiān)測指標(biāo)主要為糞大腸菌群、浮游植物和底棲動物。分析方法采用國家環(huán)保局《環(huán)境監(jiān)測技術(shù)規(guī)范——生物監(jiān)測(水環(huán)境)》部分進行。
1 河流生物監(jiān)測評價結(jié)果
“十二五”期間,太子河本溪段河流水質(zhì)中,老官砬子斷面糞大腸菌群屬良好,浮游植物和底棲動物屬輕度污染,詳見表1。
2 “十二五”與“十一五”期間河流生物指標(biāo)比較
“十二五”與“十一五”期間太子河本溪段河流水質(zhì)相比,老官砬子斷面的糞大腸菌群指標(biāo)評價由清潔上升為良好,上升率為135.2%,浮游植物和底棲動物均屬輕度污染,變化幅度不明顯,詳見表2。
3 水質(zhì)生物評價標(biāo)準(zhǔn)
多樣性指數(shù)評價:
糞大腸菌群:《地表水環(huán)境質(zhì)量標(biāo)準(zhǔn)》(GB3838-2002)地表水水質(zhì)分級法。
浮游植物、底棲動物:Shannon-Weaver多樣性指數(shù)(H)評價方法,參考污水生物系統(tǒng)評價方法。
式中:H為多樣性指數(shù);S為種類;ni為樣品中第i種生物個數(shù),N為樣品中各種生物總個數(shù)。生物指標(biāo)評價標(biāo)準(zhǔn)見表3。
4 變化趨勢
4.1 變化趨勢
利用Spearman秩相關(guān)系數(shù)檢驗法對“十二五”期間,太子河本溪段老官砬子斷面的生物指標(biāo)進行污染變化趨勢分析檢驗。結(jié)果表明,“十二五”期間太子河本溪段老官砬子斷面水質(zhì)生物指標(biāo)監(jiān)測中,糞大腸菌群有顯著上升趨勢,但不顯著;而浮游植物顯著有上升趨勢;底棲動物不顯著。當(dāng)a=0.05,n=5,Wp=0.900時,檢驗結(jié)果見表4。
水質(zhì)生物指標(biāo)污染變化趨勢檢驗結(jié)果
太子河本溪段老官砬子斷面2011-2015年糞大腸菌群和浮游植物年際變化見圖1。由圖1可得,“十二五”期間太子河本溪段老官砬子斷面生物指標(biāo)監(jiān)測中,糞大腸菌群和浮游植物除2013年下降外,其它年年均指標(biāo)呈顯著上升趨勢。其中2015年糞大腸菌群監(jiān)測值為0.96萬個/升,評價結(jié)果由“十一五”期間的清潔上升為“十二五”期間的良好,浮游植物多樣性指數(shù)為3.182,評價結(jié)果為輕度污染。
4.2 對策及建議
嚴格禁止在水源地保護區(qū)內(nèi)新建工業(yè)、規(guī)?;B(yǎng)殖和餐飲等污染項目,加強城市和農(nóng)村集中式飲用水源保護,保障飲用水的安全。強化水源地的水質(zhì)全分析工作,加強匯水區(qū)工業(yè)污染源有毒有害物質(zhì)管控,對其產(chǎn)生和排放嚴格管理,優(yōu)先控制。
[責(zé)任編輯:王楠]
and(select top 1 asc(mid(username,1,1))from admin)>99
and(select top 1 asc(mid(username,1,1))from admin)=100
解析一下這個語句的含義。就是一些函數(shù)的使用技巧, asc() 負責(zé)查詢某個字符的ascii碼值,mid(addr,start,len)這個函數(shù)負責(zé)選取某個字符串中從start開始len位的字符。本語句就是取出字符串的第一個字符了。當(dāng)然第二個字符:
and(select top 1 asc(mid(username,2,1))from admin)>99就是這樣算的了,取出每一位的結(jié)果之后,轉(zhuǎn)換為對應(yīng)的字符就是用戶名或者密碼了。
這就是為什么猜解表名、字段的時候,都是一條一條的出結(jié)果,而猜解字段值的時候,是一個字符一個字符的出結(jié)果了。
3 SQL注入攻擊的防御辦法
知道了黑客入侵的原理,也就知道怎么對應(yīng)的做好防護了。從阿D注入工具入侵的步驟來看,主要就是通過提交非法SQL語句,根據(jù)不同的返回信息來確定猜測的表名、字段名、字段值是否正確,通過不斷的窮舉,最終猜解到準(zhǔn)確的表名、字段名、字段值。所以防御的辦法就是阻斷猜解過程,一是不讓非法SQL語句提交、執(zhí)行,二是不讓出錯信息在瀏覽器端顯示出來。下面詳細敘述:
1)對用戶在地址欄的輸入、傳入的Request函數(shù)等進行校驗,通過正則表達式,對單引號、SQL語句等進行判斷和過濾,阻止非法SQL語句的執(zhí)行,防止SQL注入。
2)修改web服務(wù)器參數(shù)設(shè)置。SQL注入入侵是根據(jù)web服務(wù)錯誤提示信息來獲取信息進行入侵的??梢园褀eb服務(wù)器設(shè)置成不管出什么樣的錯誤,只給出一種錯誤提示信息,即http 500錯誤,攻擊者就沒辦法從提示信息中獲取有用信息進行入侵了,注入工具也沒有辦法了。這個方法即簡單又有效,缺點就是代碼出錯時,會給程序的調(diào)試帶來很大的不便。不過,服務(wù)器畢竟不是測試代碼的地方,應(yīng)堅持安全穩(wěn)定第一,事實上許多服務(wù)器的出錯信息都是如此設(shè)置。
另外,利用檢測工具和手工檢測方法,對網(wǎng)站進行檢測,一旦發(fā)現(xiàn)存在漏洞,就對被注入的地址進行參數(shù)過濾和檢查。
【參考文獻】
[1]方偉,方欣,一個通用防止SQL注入系統(tǒng)的設(shè)計與實現(xiàn)[J].湖南理工學(xué)院學(xué)報:自然科學(xué)版,2012,12:25(4).
[2]楊省偉,楊浩杰.SQL注入數(shù)據(jù)庫攻擊與防御技術(shù)研究[J].長沙大學(xué)學(xué)報,2013,9:27(5).
[3]吳金秀.SQL注入攻擊與防御[J].陜西交通職業(yè)技術(shù)學(xué)院學(xué)報,2012(4).
[責(zé)任編輯:王偉平]