前言：想要寫(xiě)出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇非主流日志范文，相信會(huì)為您的寫(xiě)作帶來(lái)幫助，發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。

非主流日志范文第1篇

從某種意義上說(shuō)，我們眼中的90后，最可怕的事情是他們居然推崇頹廢的非主流，一個(gè)個(gè)古老的中國(guó)文字被他們思接八冥變成一個(gè)個(gè)“火星人，在百度的貼吧里，還有人追捧他們的所為！

這真像一場(chǎng)噩夢(mèng)，一切都可怕的顛倒了。在我們看來(lái)。90后本應(yīng)該充滿活力，本應(yīng)該有理想，本應(yīng)該有遠(yuǎn)大的抱負(fù)，本應(yīng)該露出90后最天真的笑容。90后應(yīng)該是有充滿陽(yáng)光，百花盛開(kāi)的年齡，因?yàn)檫@里應(yīng)當(dāng)是人生的花季。

每天有人從世界各地來(lái)到網(wǎng)絡(luò)上——這里也許是閑人們最喜愛(ài)的發(fā)泄圣地。來(lái)人的目的各不相同——有人是為了親眼看看事情是不是想說(shuō)的那樣可怕，有人是為了使自己OUT，也有人想通過(guò)訪問(wèn)90后們“施展才華”的場(chǎng)所來(lái)向他們致敬抑或攻擊！

網(wǎng)絡(luò)走進(jìn)人們生活已經(jīng)有N年的歷史——而日前網(wǎng)民中90后也占據(jù)了很重要的地位。在90后中大的二十幾歲出頭，小的十幾歲，可當(dāng)你打開(kāi)它們所謂的個(gè)人主頁(yè)時(shí)向你撲來(lái)的無(wú)一不是那一句句非主流的話以及它們對(duì)所謂愛(ài)情的感慨。于是網(wǎng)絡(luò)與90后一道組成了被70后　80后稱為叛逆工廠的一部分。

一年前，最后一次爆出的“XX門(mén)”在正義人士和網(wǎng)絡(luò)良民抨擊下并不徹底的走出了網(wǎng)絡(luò)世界。從那時(shí)起，90后門(mén)的惡行被人們講了很多次。一些實(shí)在看不下去的人撰寫(xiě)的日志中談到的情況，是任何一個(gè)心智健全的人所無(wú)法做出來(lái)的。

今天，在90后中，并沒(méi)有什么可以報(bào)道的新聞。記者只有一種非寫(xiě)不可的使命感，這種使命感來(lái)源于一種不安的性情：在網(wǎng)上瀏覽了這些之后，如果不說(shuō)些什么或?qū)懶┦裁淳捅粙尳凶呋丶页燥?，那就?duì)不起這里正義的樓主們。

現(xiàn)在，90后們應(yīng)該挺安靜了，人們很難聽(tīng)到網(wǎng)絡(luò)上的爭(zhēng)吵聲了。上網(wǎng)的人默默的點(diǎn)著鼠標(biāo)，先是很快的看上一眼；當(dāng)他們想象中把90后那幫小屁孩兒同非主流、復(fù)古、脫口秀、涂鴉、火星文和黑色幽默聯(lián)系起來(lái)的時(shí)候，他們點(diǎn)鼠標(biāo)的手指不由得慢了下來(lái)。是的，他們無(wú)需多說(shuō)，只消用手指敲一敲、點(diǎn)一點(diǎn)就OK了

瀏覽了好多后，網(wǎng)民的眼睛對(duì)心：“夠了！”

非主流日志范文第2篇

這次的文字寫(xiě)給你。阿澤。

關(guān)于你，請(qǐng)?jiān)S我一句用到爛俗的詩(shī)句：曾經(jīng)滄海難為水，除卻巫山不是云。

千帆過(guò)盡，謝謝你仍然在我身邊。

這樣一個(gè)朋友，她不是頂漂亮，卻清秀文雅，眉目溫婉。她不是聰慧無(wú)雙，卻蘭心蕙質(zhì)。她寫(xiě)得一手瀟灑秀麗的筆體，畫(huà)得一手絕美的水潑墨畫(huà)。她的手工極好，若是古代，女紅定然無(wú)雙。這樣一個(gè)女孩，在這個(gè)物欲橫流，崇尚拜金的社會(huì)里，卻獨(dú)獨(dú)把持著一份清明心境。

她喜歡讀詩(shī)詞，閑暇時(shí)便會(huì)來(lái)舍下借書(shū)。那一本本我并不算是很在意的有著畫(huà)工精美的封面的詩(shī)詞賞讀在她看來(lái)視若珍寶。古人幾千年文化的沉淀，歲月無(wú)法消磨的精髓之所在。與她略有不同，我讀的書(shū)卻是極雜的，各方面都會(huì)涉獵，更多的是休閑輕松的小說(shuō)，文人騷客們閑言碎語(yǔ)的評(píng)論賞析，或是爛俗到極致的濫情文（…好吧，我也就是這水平了）。與我形成對(duì)比，她愛(ài)極了那些古典詩(shī)詞，愛(ài)極了那些清麗的文字，愛(ài)極了那些見(jiàn)解獨(dú)到的賞析。她喜歡看安意如，喜歡看江湖夜雨，喜歡納蘭詞，喜歡那些古風(fēng)古韻。這樣一個(gè)女孩，在“非主流”為“主流”的當(dāng)下，在這個(gè)充滿了懵懂，青澀，躁動(dòng)的年歲里，心境依然純正。

我們談天說(shuō)地，說(shuō)起各自生活的趣事。她笑得好不開(kāi)心！開(kāi)朗陽(yáng)光的女孩，眉梢眼角洋溢著盈盈笑意。這樣一個(gè)女孩，心底生長(zhǎng)著愉悅的種子，她的生活又怎能不幸福呢？

她為我織的圍巾，絨絨的觸感，白色質(zhì)地穿插著淡紫色，都是我很喜歡的色彩。

心底處漫上來(lái)柔軟而溫暖。

她在我生辰時(shí)送的畫(huà)，工筆和寫(xiě)意的雙份仕女圖。仍舊被我悉心珍藏。 卻也不舍得裱起來(lái)。生怕歲月在畫(huà)中留下痕跡。

那些泛黃的褶皺處，都是這樣一份友誼的見(jiàn)證，彌足珍貴。

年華瞬息，忽然而已。

我愿許你一世歡顏，我愿許你一世金蘭。

（日志長(zhǎng)話短說(shuō)了，但這么多年的感情豈是三言兩語(yǔ)說(shuō)得盡的…

不管阿澤你是否能看到，留個(gè)紀(jì)念吧）

非主流日志范文第3篇

我是一個(gè)很普通的女孩，和別的女孩一樣，，無(wú)聊時(shí)也喜歡做一些公主的白日夢(mèng)，但我活得很快樂(lè)，雖然做事有時(shí)很沒(méi)頭腦，但我相信我的未來(lái)不是夢(mèng)。

我身邊還有一些整日不修邊幅的90后，她們也和我一樣快樂(lè)的生活著。

Li

一個(gè)很酷的女孩，高興時(shí)對(duì)人很好，不高興時(shí)對(duì)你很冷，她總是個(gè)迷，飄忽不定，讓人猜也猜不透，不過(guò)對(duì)于90后來(lái)說(shuō)，這叫做酷，她喜歡說(shuō)冷笑話，有時(shí)還喜歡把自己弄的很深沉，但唯一不變的是，她很快樂(lè)。對(duì)人有時(shí)候很粗魯額，一點(diǎn)也不像個(gè)女孩子，那獅吼功真是......一到下課，我們就會(huì)黏在一起，教室里總能傳出我們的笑聲。班上的人說(shuō)我們像瘋子，我們說(shuō)我們走我們的路，讓別人說(shuō)去吧。

我們用自己的方式，快樂(lè)的生活著，其實(shí)我們的生活很簡(jiǎn)單，想法也同樣簡(jiǎn)單，江湖這趟水到底有多深毫不知曉，天真的認(rèn)為武林外傳就是江湖，電視劇中的情感才是愛(ài)情的真諦。我們只不過(guò)喜歡與家長(zhǎng)唱唱反調(diào)，喜歡在學(xué)習(xí)中偷偷懶，喜歡在生活中占點(diǎn)小便宜，喜歡在日志中寫(xiě)我們是糖，甜到憂傷，之類的傷感語(yǔ)，好似自己看破紅塵。我們愛(ài)生活，或許不大懂事，但請(qǐng)?jiān)徢啻旱哪w淺，那是每一個(gè)人青春的依據(jù)呀！

非主流日志范文第4篇

隨著2016年下半年的11.11和12.12兩個(gè)電商購(gòu)物節(jié)的落幕，線上消費(fèi)的持續(xù)變革及其取代線下的趨勢(shì)，儼然已經(jīng)成為共識(shí)。回頭看馬云與王健林的一億元賭約，抑或是雷軍與董明珠在新制造業(yè)的十億賭局，都成了“互聯(lián)網(wǎng)+”漸進(jìn)時(shí)代的有趣插曲。

復(fù)盤(pán)電商購(gòu)物節(jié)的種種成績(jī)與變化，除了節(jié)節(jié)攀升的銷售數(shù)據(jù)之外，“網(wǎng)紅”占據(jù)了搜索、點(diǎn)擊與流量半壁江山的現(xiàn)實(shí)，也在宣告著這一群體的價(jià)值定位。不知不覺(jué)間，網(wǎng)紅的價(jià)值已不再是泡沫，開(kāi)始被業(yè)界認(rèn)可。

上個(gè)月，知名智庫(kù)研究機(jī)構(gòu)Analysys易觀了《中國(guó)網(wǎng)紅經(jīng)濟(jì)下的女性社會(huì)化電商發(fā)展專題研究報(bào)告2016》（以下簡(jiǎn)稱“報(bào)告”），其基于易觀千帆、蘑菇街平臺(tái)數(shù)據(jù)、uni引力平臺(tái)數(shù)據(jù)，通過(guò)對(duì)女性社會(huì)化電商的用戶特征、行為研究，對(duì)電商網(wǎng)絡(luò)紅人特征及需求進(jìn)行分析，并得出了一系列的結(jié)論。報(bào)告指出，國(guó)內(nèi)消費(fèi)市場(chǎng)進(jìn)入新一輪的消費(fèi)升級(jí)階段，在網(wǎng)紅電商平臺(tái)通過(guò)新模式謀求新爆點(diǎn)的過(guò)程中，不斷完善網(wǎng)紅電商生態(tài)，對(duì)商品、用戶、網(wǎng)購(gòu)行為產(chǎn)生的影響已逐漸凸顯出來(lái)。數(shù)據(jù)顯示，電商平臺(tái)、特別是女性社會(huì)化電商平臺(tái)，成為網(wǎng)紅產(chǎn)業(yè)變現(xiàn)的主要渠道。

報(bào)告還發(fā)現(xiàn)，網(wǎng)民由PC端向移動(dòng)端轉(zhuǎn)移的千億流量紅利式微，電商尋求新的增長(zhǎng)渠道，同時(shí)，網(wǎng)紅經(jīng)濟(jì)時(shí)代，女性社會(huì)化電商開(kāi)始不斷深度挖掘網(wǎng)紅自制內(nèi)容、自生流量的價(jià)值，與網(wǎng)上購(gòu)物場(chǎng)景構(gòu)建相結(jié)合，直播成為了網(wǎng)紅電商重現(xiàn)消費(fèi)場(chǎng)景的重要工具。

消費(fèi)的第三極

我們所謂的網(wǎng)紅產(chǎn)業(yè)，一般是指圍繞網(wǎng)絡(luò)紅人及其產(chǎn)品和服務(wù)所形成的相關(guān)行業(yè)有機(jī)綜合體，包括但不限于社交平臺(tái)、網(wǎng)紅孵化、供應(yīng)鏈管理、營(yíng)銷推廣等產(chǎn)業(yè)環(huán)節(jié)。網(wǎng)紅產(chǎn)業(yè)規(guī)模是指網(wǎng)絡(luò)紅人依靠自身影響力和知名度，通過(guò)商品銷售、廣告營(yíng)銷、商業(yè)演出等方式獲得的收入總和。

事實(shí)上，網(wǎng)紅一詞從其誕生伊始，到如今成長(zhǎng)為年收入數(shù)百億元的一個(gè)群體，其代表的正是技術(shù)變革時(shí)代所催生的趨勢(shì)之一。在移動(dòng)互聯(lián)網(wǎng)發(fā)展的助力之下，網(wǎng)紅已經(jīng)成為與互聯(lián)網(wǎng)+、電商并駕齊驅(qū)的現(xiàn)象級(jí)商業(yè)蛻變。

阿里巴巴集團(tuán)CEO張勇早就表示，網(wǎng)紅經(jīng)濟(jì)是新經(jīng)濟(jì)中誕生的一個(gè)全新經(jīng)濟(jì)角色，展現(xiàn)了互聯(lián)網(wǎng)在供需兩端形成的裂變效應(yīng)，這個(gè)角色在制造商、設(shè)計(jì)者、銷售者、消費(fèi)者和服務(wù)者之間產(chǎn)生了全新的連接，展現(xiàn)了互聯(lián)網(wǎng)全面融合新經(jīng)濟(jì)時(shí)帶來(lái)的無(wú)窮活力。

“紅人能夠幫助網(wǎng)上店鋪提升經(jīng)營(yíng)效率、增加用戶粘性，紅人店平均成交客單價(jià)，是普通店平均成交客單價(jià)的123.79%，紅人店平均成交品單價(jià)，是普通店平均成交品單價(jià)的126.27%”，易觀以專注于女性時(shí)尚消費(fèi)的電商蘑菇街為例，說(shuō)明了網(wǎng)紅在導(dǎo)流、提升消費(fèi)方面的價(jià)值。其中，蘑菇街的認(rèn)證紅人sasa羅從平面模特個(gè)人店成長(zhǎng)為紅人，再?gòu)膮⑴c店鋪經(jīng)營(yíng)同時(shí)對(duì)接供應(yīng)鏈，最終實(shí)現(xiàn)了人氣積累到爆發(fā)和紅人店鋪交易量攀升，其粉絲數(shù)目前已超過(guò)77萬(wàn)。而另一個(gè)紅人“大牙珠珠”，甚至創(chuàng)出成交額環(huán)比增長(zhǎng)率超過(guò)2340%的成績(jī)。

根據(jù)易觀《報(bào)告》，38.6%的受訪者表示更相信網(wǎng)紅直播穿搭時(shí)看到的效果。網(wǎng)紅特殊的草根群體特征，以及直播的平民化，使得觀眾很容易產(chǎn)生代入感，繼而產(chǎn)生了消費(fèi)的驅(qū)動(dòng)力。

《2016中國(guó)電商紅人大數(shù)據(jù)報(bào)告》也顯示，2016年紅人產(chǎn)業(yè)產(chǎn)值（包括紅人相關(guān)的商品銷售額）預(yù)估接近580億元人民幣，這一數(shù)字甚至超過(guò)2016年全年中國(guó)電影總票房，同時(shí)也相當(dāng)于國(guó)內(nèi)最大連鎖百貨百聯(lián)集團(tuán)2015年全年銷售額。而根據(jù)易觀的預(yù)測(cè)，到2018年中國(guó)網(wǎng)紅產(chǎn)業(yè)規(guī)模將超過(guò)1000億元人民幣，電商仍會(huì)是網(wǎng)紅產(chǎn)業(yè)主要變現(xiàn)渠道。網(wǎng)紅的價(jià)值與前景，著實(shí)不容小覷。

網(wǎng)紅所帶來(lái)的奇跡還不僅于此。業(yè)內(nèi)人士認(rèn)為，一場(chǎng)呼之欲出的消費(fèi)革命或因此而生。某種程度上也可以說(shuō)，移動(dòng)互聯(lián)網(wǎng)時(shí)代的“網(wǎng)紅”，和微博大V、電視選秀等相似，是新傳播時(shí)代催生出的“明星”，其成長(zhǎng)的草根模式，恰恰是其更容易被粉絲們看重與跟隨的原因。網(wǎng)紅，將成為互聯(lián)網(wǎng)消費(fèi)的第三極。

引爆新消費(fèi)時(shí)代

在消費(fèi)升級(jí)的大背景下，消費(fèi)者的心態(tài)、行為、側(cè)重點(diǎn)都在改變。但對(duì)于年輕消費(fèi)者來(lái)說(shuō)，不論是十年前還是現(xiàn)在，價(jià)格合理、款式時(shí)尚、品質(zhì)可控是他們不變的追求。但顯然，在這些基本訴求之外，如今的消費(fèi)者對(duì)商品還有著更加多元、苛刻的新要求。除了高性價(jià)比的產(chǎn)品，他們還追求情感的認(rèn)同、過(guò)程的體驗(yàn)，這些超脫商品本身的附加價(jià)值，正是網(wǎng)紅所能帶來(lái)的。在網(wǎng)紅經(jīng)濟(jì)持續(xù)升溫的當(dāng)下，電商平臺(tái)不得不做出精準(zhǔn)的判斷――如何“變”與“不變”。

2016年，網(wǎng)紅及直播成為現(xiàn)象級(jí)電商模式，網(wǎng)紅店鋪的導(dǎo)流作用迎來(lái)爆發(fā)，成為各大電商平臺(tái)新的營(yíng)銷手段。其中最具代表性的就是時(shí)尚女性電商社交平臺(tái)蘑菇街的“網(wǎng)紅+直播+電商”的模式，不僅能讓產(chǎn)品展示更直觀、立體，幫助紅人店主實(shí)現(xiàn)快速、高額的商業(yè)變現(xiàn)，同時(shí)還能輸出時(shí)尚價(jià)值觀。此外，在消費(fèi)升級(jí)的大背景下，蘑菇街還進(jìn)行了一系列的品質(zhì)升級(jí)。在剛剛結(jié)束的蘑菇街“至美1212”期間，蘑菇街不僅延續(xù)了“紅人+直播”的大促模式，還深入到工廠，對(duì)每一件團(tuán)購(gòu)的商品進(jìn)100%質(zhì)檢直播，質(zhì)檢合格的商品才可入倉(cāng)發(fā)貨。

這些年來(lái)，電商已然變革了人們的消費(fèi)方式，如今，網(wǎng)紅勢(shì)如破竹，又再度變革了電商的商業(yè)模式。網(wǎng)紅所改變的是傳統(tǒng)線下和初級(jí)線上銷售模式所不能給予的一種用戶體驗(yàn)，而當(dāng)網(wǎng)紅這一頗具門(mén)檻的群體成為一種職業(yè)時(shí)，一個(gè)新的消費(fèi)趨勢(shì)也隨之誕生，被引領(lǐng)的時(shí)尚及其所掀起的互聯(lián)網(wǎng)購(gòu)物風(fēng)潮也成為一種新消費(fèi)理念。而網(wǎng)紅也在不斷的進(jìn)化中，從非主流向主流邁進(jìn)，在構(gòu)建新消費(fèi)時(shí)代的大潮中凸顯著自身的作用。

除了可觀的導(dǎo)流作用，網(wǎng)紅對(duì)時(shí)尚引導(dǎo)的作用也不容小覷。據(jù)統(tǒng)計(jì)，所有走進(jìn)直播間的用戶，有超過(guò)37%的幾率被成功種草，而77.4%的95后信任網(wǎng)紅推薦更多于明星代言。而由于二三線城市對(duì)互聯(lián)網(wǎng)時(shí)尚信息的強(qiáng)依賴，這個(gè)數(shù)值在二三線城市會(huì)更高，網(wǎng)紅對(duì)小城市的時(shí)尚引導(dǎo)作用尤為明顯。

被譽(yù)為“互聯(lián)網(wǎng)革命最偉大的思考者”、“新文化最敏銳的觀察者”的克萊?舍基（Clay Shirky）在他的著作《人人時(shí)代――無(wú)組織的組織力量》中提到，基于愛(ài)、正義、共同的喜好和經(jīng)歷，人和人可以超越傳統(tǒng)社會(huì)的種種限制，靈活而有效地采用即時(shí)通信、移動(dòng)電話、網(wǎng)絡(luò)日志和維基百科等新的社會(huì)性工具聯(lián)結(jié)起來(lái)，一起分享、合作乃至展開(kāi)集體行動(dòng)。某種程度上，克萊的人人時(shí)代，也是在昭示著一種變革未來(lái)的力量的崛起。而網(wǎng)紅，也可以看作是人人時(shí)代那些因興趣、喜好等連接起來(lái)的引領(lǐng)社會(huì)風(fēng)潮的不可忽視的力量。

非主流日志范文第5篇

    挑戰(zhàn),如何降低SQL注入的風(fēng)險(xiǎn),從根本上實(shí)施SQL注入防御,成了安全人員面臨的首要問(wèn)題。

    1.SQL注入的原理

    所謂 SQL 注入攻擊就是通過(guò)構(gòu)建特殊的輸入,這些輸入往往是SQL語(yǔ)法中的一些組合,這些輸入將作為參數(shù)傳入Web應(yīng)用程序,通過(guò)執(zhí)行SQL語(yǔ)句而執(zhí)行攻擊者想要的操作,它的產(chǎn)生主要是由于程序?qū)τ脩糨斎氲臄?shù)據(jù)沒(méi)有進(jìn)行細(xì)致的過(guò)濾,導(dǎo)致非法數(shù)據(jù)的導(dǎo)入查詢。

    2.產(chǎn)生SQL注入原因

    從技術(shù)上講, SQL注入主要有代碼層注入和平臺(tái)層注入,代碼層是因?yàn)閼?yīng)用的程序員對(duì)輸入的過(guò)濾不嚴(yán)格,執(zhí)行了非法的數(shù)據(jù)查詢;平臺(tái)層的注入則因?yàn)閿?shù)據(jù)庫(kù)平臺(tái)的漏洞或數(shù)據(jù)庫(kù)配置不安全等原因造成的。因此SQL注入的產(chǎn)生一般體現(xiàn)在:轉(zhuǎn)義字符處理不當(dāng)、類型處理不當(dāng)、查詢集處理不當(dāng)、錯(cuò)誤處理不當(dāng)、多個(gè)提交處理不當(dāng)和數(shù)據(jù)庫(kù)配置不安全這幾個(gè)方面。

    3. SQL注入技術(shù)

    對(duì)一些存在SQL注入漏洞的應(yīng)用來(lái)說(shuō),利用這些漏洞,攻擊者可以竊取用戶數(shù)據(jù),提升權(quán)限等,根據(jù)注入方式的不同,注入技術(shù)主要有以下幾種:

    3.1 使用特殊的字符

    不同的SQL數(shù)據(jù)庫(kù)有很多不同的特殊變量和特殊字符,利用一些過(guò)濾不嚴(yán)格或配置不安全的應(yīng)用系統(tǒng)可以獲取到一些有用的信息,為進(jìn)一步攻擊提供了方向。比如使用注釋、單引號(hào)、數(shù)據(jù)庫(kù)的變量、存儲(chǔ)過(guò)程等方式。

    3.2 使用Union查詢數(shù)據(jù)

    可以使用Union連接兩條或多條查詢語(yǔ)句的結(jié)果。通過(guò)一個(gè)查詢后面注入U(xiǎn)nion運(yùn)算,并添加另一個(gè)查詢便可以讀到用戶訪問(wèn)過(guò)的任一張表,得到攻擊者想要的信息。

    3.3 使用條件語(yǔ)句

    該方法主要有三類:基于時(shí)間、基于錯(cuò)誤、基于內(nèi)容。這類方法主要是在正常訪問(wèn)后加上條件語(yǔ)句,根據(jù)返回的信息判斷被攻擊的目標(biāo)。

    3.4 強(qiáng)制產(chǎn)生錯(cuò)誤

    其攻擊動(dòng)機(jī)是識(shí)別數(shù)據(jù)庫(kù)的類型和版本等信息等。該類型的攻擊其實(shí)是攻擊的一個(gè)預(yù)備步驟,用于為其他類型的攻擊收集信息,包括數(shù)據(jù)庫(kù)的類型和結(jié)構(gòu)。通過(guò)應(yīng)用程序服務(wù)器返回的默認(rèn)錯(cuò)誤信息獲得漏洞信息。

    3.5 參數(shù)拆分與平衡技術(shù)

    分解合法輸入的操作稱作拆分,平衡則保證最終的查詢中不會(huì)包含不平衡的單引號(hào)。這是一種SQL注入常用的技術(shù)?；舅枷胧鞘占戏ǖ恼?qǐng)求參數(shù),之后使用SQL關(guān)鍵字進(jìn)行修改以保證與原數(shù)據(jù)不同,但是當(dāng)數(shù)據(jù)庫(kù)解析時(shí),二者是等價(jià)的。

    3.6推斷技術(shù)

    可以識(shí)別可注入?yún)?shù)、提取數(shù)據(jù)或確定數(shù)據(jù)庫(kù)模式。該種類型的攻擊利用網(wǎng)站對(duì)用戶的輸入的返回信息,推導(dǎo)數(shù)據(jù)庫(kù)模式和可注入?yún)?shù)。該類型的攻擊構(gòu)造的查詢執(zhí)行后得到的答案有兩種:真或假。基于推斷的注入方法:盲注入和時(shí)間測(cè)定注入。對(duì)于盲注入方法有經(jīng)典的“and l=l”和“and l=2”注入。而時(shí)間測(cè)定注入則是在注入語(yǔ)句中加入像“ waitfor 100”這樣的語(yǔ)句,根據(jù)該查詢結(jié)果出現(xiàn)的時(shí)間來(lái)判定是否能注入、注入是否成功以及推導(dǎo)數(shù)據(jù)值的范圍。這些方法都是通過(guò)問(wèn)一些相關(guān)但并非直接且能得到回應(yīng)的問(wèn)題,從響應(yīng)信息推出想要的信息,進(jìn)而進(jìn)行攻擊。

    3.7 使用非主流通道技術(shù)

    除了HTTP響應(yīng)之外,我們可以使用通道來(lái)獲取數(shù)據(jù)。但是通道依賴于數(shù)據(jù)庫(kù)支持的功能,并不適合所有的數(shù)據(jù)庫(kù)平臺(tái)。SQL 注入的非主流通道一般有:數(shù)據(jù)庫(kù)連接、DNS、E-MAIL等,其基本思想是先將SQL查詢打包,然后利用非主流通道將結(jié)果返回給攻擊者。

    3.8 避開(kāi)輸入過(guò)濾技術(shù)

    在一般的編碼或平臺(tái)本身都有一些過(guò)濾手段來(lái)防范SQL注入,針對(duì)這種情況也有很多的方法來(lái)繞過(guò)過(guò)濾。常見(jiàn)的實(shí)現(xiàn)該目標(biāo)的技術(shù)有:使用大小寫(xiě)變種、使用SQL注釋、使用URL編碼、使用動(dòng)態(tài)的查詢、使用空字節(jié)、嵌套剝離后的表達(dá)式、利用截?cái)嗟?。通過(guò)這些技術(shù),輸入經(jīng)過(guò)構(gòu)思的查詢,能繞過(guò)響應(yīng)的過(guò)濾,獲取攻擊者想要的查詢結(jié)果。

    3.9利用存儲(chǔ)過(guò)程 數(shù)據(jù)庫(kù)廠商用一些標(biāo)準(zhǔn)存儲(chǔ)過(guò)程來(lái)擴(kuò)展數(shù)據(jù)庫(kù)的功能并允許其與系統(tǒng)交互,或者用戶會(huì)自定義一些存儲(chǔ)過(guò)程。通過(guò)其他類型攻擊搜集到數(shù)據(jù)庫(kù)的相關(guān)信息(數(shù)據(jù)庫(kù)類型)后,就可以構(gòu)造執(zhí)行存儲(chǔ)過(guò)程的命令。與附帶查詢攻擊相同,該攻擊可以實(shí)現(xiàn)特權(quán)擴(kuò)張、拒絕服務(wù)以及執(zhí)行遠(yuǎn)程命令。 

    ;  4. SQL注入防范

    了解了SQL注入的技術(shù),如何能修復(fù)SQL注入?如何進(jìn)一步防范SQL注入的泛濫?本文主要從兩個(gè)方面來(lái)防范SQL注入,一是代碼層的防范,一是平臺(tái)層的防范。通過(guò)一些合理的操作和配置來(lái)降低SQL注入的危險(xiǎn)。

    4.1 使用參數(shù)化語(yǔ)句

    SQL注入的根本原因之一是將SQL查詢創(chuàng)建成字符串然后發(fā)給數(shù)據(jù)庫(kù)執(zhí)行。使用參數(shù)化語(yǔ)句可以避免很多在應(yīng)用中常見(jiàn)到的SQL注入問(wèn)題。不過(guò),參數(shù)化語(yǔ)句是一種向數(shù)據(jù)庫(kù)提供潛在的非安全參數(shù)(通常作為查詢或存儲(chǔ)過(guò)程調(diào)用)的方法。雖然它們不會(huì)修改傳遞給數(shù)據(jù)庫(kù)的內(nèi)容,但是如果正在調(diào)用的數(shù)據(jù)庫(kù)功能在存儲(chǔ)過(guò)程或函數(shù)實(shí)現(xiàn)中使用了動(dòng)態(tài)的SQL,則也有可能出現(xiàn)SQL注入。

    4.2 輸入驗(yàn)證

    輸入驗(yàn)證是指測(cè)試應(yīng)用接收到的輸入以保證其符合應(yīng)用中定義的標(biāo)準(zhǔn)過(guò)程。它可能簡(jiǎn)單到直接是一個(gè)參數(shù)類型的驗(yàn)證,也可能復(fù)雜到使用正則表達(dá)式或者業(yè)務(wù)邏輯去驗(yàn)證輸入。一般有兩種不同類型的輸入驗(yàn)證方法:白名單驗(yàn)證和黑名單驗(yàn)證。

    4.3 編碼輸出

    除了驗(yàn)證應(yīng)用程序接收的輸入外,經(jīng)常需要對(duì)程序各模塊之間或者各部分之間傳遞的內(nèi)容進(jìn)行編碼。在存在SQL注入的環(huán)境中,為了保證傳遞給數(shù)據(jù)庫(kù)的內(nèi)容不會(huì)被錯(cuò)誤處理,則必須進(jìn)行編碼。不過(guò)這不是唯一需要進(jìn)行編碼的情形。

    4.4 規(guī)范化

    避開(kāi)輸入驗(yàn)證和編碼輸出的常用技術(shù)就是將輸入發(fā)送給應(yīng)用之前對(duì)其進(jìn)行編碼,之后再對(duì)其進(jìn)行解碼和解釋以符合攻擊者的目標(biāo)。比如單引號(hào)有很多種編碼方式,很難預(yù)測(cè)應(yīng)用是否按那種方式來(lái)解釋,所有就可能繞過(guò)驗(yàn)證。由于這個(gè)原因,將規(guī)范化作為輸入驗(yàn)證方法的一部分。通常最容易的一種方法是拒絕所有不符合規(guī)范格式的輸入。

    4.5 通過(guò)設(shè)計(jì)來(lái)避免SQL注入危險(xiǎn)

    這種方式主要是通過(guò)提供許多較高級(jí)別的設(shè)計(jì)技術(shù)來(lái)避免或減輕SQL注入的危險(xiǎn)。有很多獨(dú)立的設(shè)計(jì)技術(shù),比如:使用存儲(chǔ)過(guò)程以便在數(shù)據(jù)庫(kù)層擁有較細(xì)的粒度許可技術(shù),使用數(shù)據(jù)訪問(wèn)抽象層來(lái)對(duì)整個(gè)應(yīng)用施加安全的數(shù)據(jù)訪問(wèn)技術(shù),以及對(duì)敏感信息進(jìn)行附加的控制等技術(shù)。

    4.6 使用運(yùn)行時(shí)保護(hù)

    此技術(shù)主要用于檢測(cè)、減輕或防止那些不需要重編譯易受攻擊的應(yīng)用的源代碼即可部署的SQL注入。主要是Web服務(wù)器和部署框架的軟件或是針對(duì)Web或應(yīng)用平臺(tái)的用于修改和擴(kuò)展特性的技術(shù)。當(dāng)無(wú)法修改代碼時(shí),這是一種有效的技術(shù)。常用防范方式是通過(guò)部署Web應(yīng)用防火墻、入侵檢測(cè)系統(tǒng)、數(shù)據(jù)庫(kù)防火墻等進(jìn)行保護(hù)。

    4.7 確保數(shù)據(jù)庫(kù)安全

    使用一些額外的方式強(qiáng)化數(shù)據(jù)庫(kù)安全。首先鎖定應(yīng)用數(shù)據(jù),采用最小權(quán)限登陸數(shù)據(jù)庫(kù),撤銷不必要的公共許可,使用強(qiáng)大的加密技術(shù)來(lái)保護(hù)敏感數(shù)據(jù)并維護(hù)審查跟蹤。其次鎖定數(shù)據(jù)庫(kù),對(duì)額外的系統(tǒng)對(duì)象鎖定,約束即席查詢,加強(qiáng)對(duì)驗(yàn)證周邊嚴(yán)格控制,最低權(quán)限操作系統(tǒng)賬戶并確保數(shù)據(jù)庫(kù)打了最新補(bǔ)丁。

    4.8 額外的部署

    額外的部署主要包括最小化不必要的信息泄露、配置網(wǎng)絡(luò)訪問(wèn)控制、獨(dú)立部署Web應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器、提高Web服務(wù)器冗余日志及使用最新漏洞掃描程序排查Web應(yīng)用等。尤其是不必要的信息泄露,是一些注入的前提,因此這些隱藏需要隱藏錯(cuò)誤的信息、使用空的默認(rèn)Web站點(diǎn)、為DNS反向查詢使用虛擬主機(jī)名稱等措施必不可少。

    5.總結(jié)

    本文總結(jié)了一些常見(jiàn)的SQL注入攻擊的方式,提出了一些防范SQL注入攻擊的方法,希望能對(duì)一些Web應(yīng)用在防注入方面提供幫助,但是新的注入方式層出不窮,SQL注入與防范一直會(huì)是Web應(yīng)用安全方面經(jīng)久不衰的話題。

    參考文獻(xiàn):

    [1]游悠.SQL注入的一般方法及防御措施.中國(guó)科技信息,2005年第18期:13.

    [2]王云,郭外萍,陳承歡.Web 項(xiàng)目中的 SQL 注入問(wèn)題研究與防范方法[J].計(jì)算機(jī)工程與設(shè)計(jì),2010(5):976-978,1016.