本發明實施例公開了一種數據庫的數據處理方法和系統。本實施例采用破壞SQL關鍵詞在SQL語句中的語法含義來對SQL指令進行預處理，然后才根據該預處理后SQL指令所需參數生成SQL指令，并根據SQL指令進行數據庫的數據處理，從而使得即便執行了遺漏SQL轉義步驟而構造出的SQL指令時，也會因為SQL語法錯誤而無法執行，避免產生信息泄漏等危害；而對于不包含SQL關鍵詞的SQL指令所需參數，也不受流程的任何影響，即使執行了漏掉SQL轉義步驟而構造的SQL指令，也不會因為產生可執行命令而導致信息泄漏或影響到內容展示和用戶閱讀效果等后果。

技術領域

本發明涉及通信技術領域，具體涉及一種數據庫的數據處理方法和系統。背景技術

隨著信息技術的發展，數據庫的作用也越發顯得重要，如何保護數據庫中信息的安全，一直是人們所關注的問題。結構化查詢語言（SQL，Structured Query Language）注入攻擊是黑客對數據庫進行攻擊的常用手段之一，其中，SQL是一種數據庫查詢和程序設計語言，用于存取數據以及查詢、更新和管理關系數據庫系統。SQL注入攻擊，指的是在輸入參數的字符串之中注入SQL指令，使得其能夠在設計不良的程序當中被忽略檢查，從而使得這些注入的SQL指令能夠被數據庫服務器誤認為是正常的SQL指令而運行，最終致使數據庫信息泄漏等嚴重后果的攻擊行為。

針對SQL注入攻擊，現有技術主要采用保護方法有：（1）動態拼接SQL語句的時候將參數值進行SQL轉義，避免構造出惡意SQL語句；（2）對已經拼接好的SQL語句做語法分析，通過相應算法檢測來推測當前SQL語句是否惡意；（3）針對網頁（web）請求參數值強行替換單個單引號為連續兩個單引號，再直接進行SQL轉義。（4）使用存儲過程或第三方中間語言。

在對現有技術的研究和實踐過程中，本發明的發明人發現，現有的幾種保護方法雖然在一定程度上可以避免SQL注入攻擊，但是其保護效果并不是很好，可能會因為遺漏SQL轉義步驟而產生可執行命令，從而導致信息泄漏等后果，而且可能會影響到內容展示和用戶閱讀效果。

發明內容

本發明實施例提供一種數據庫的數據處理方法和系統，可以有效地避免SQL注入攻擊，提高對數據庫的保護效果，而且，不會影響到內容展示和用戶閱讀效果。

一種數據庫的數據處理方法，包括：

接收數據庫數據處理請求，根據所述數據庫數據處理請求獲取SQL指令所需參數；

對所述SQL指令所需參數進行SQL關鍵詞識別和預處理，得到預處理后SQL指令所需參數，所述預處理包括破壞SQL關鍵詞在SQL語句中的語法含義的處理；

根據所述預處理后SQL指令所需參數生成SQL指令，并根據所述SQL指令進行數據庫的數據處理。

可選的，其中，所述對所述SQL指令所需參數進行SQL關鍵詞識別和預處理，得到預處理后SQL指令所需參數，所述預處理包括破壞SQL關鍵詞在SQL語句中的語法含義的處理，可以包括：

對所述SQL指令所需參數進行SQL關鍵詞識別；對識別出的SQL關鍵詞進行SQL關鍵詞尾部拼接私有萬國碼字符的替換處理，得到預處理后SQL指令所需參數；或者，對識別出的SQL關鍵詞進行SQL關鍵詞頭部拼接私有萬國碼字符的替換處理，得到預處理后SQL指令所需參數。

可選的，其中，所述對所述SQL指令所需參數進行SQL關鍵詞識別，可以包括：

對所述SQL指令所需參數進行SQL關鍵詞匹配，得到匹配后SQL關鍵詞；根據SQL關鍵詞在SQL語句中的語法對匹配后SQL關鍵詞進行檢查，得到符合語法的SQL關鍵詞。

可選的，所述根據所述預處理后SQL指令所需參數生成SQL指令，并根據所述SQL指令進行數據庫的數據處理，可以包括：