老官砬子斷面水質生物指標變化趨勢分析

王雪

老官砬子位于太子河干流，本溪市明山區牛心臺鎮梁家村，本溪縣與本溪市交界處，屬河流型地表水，于2003年啟用。老官砬子是本溪市最大的集中飲用水源地，設計年取水量為12775萬噸，供給本溪市區、石橋子開發區及本鋼廠區生活飲用，服務人口78.9萬人。

“十二五”期間，太子河本溪段老官砬子斷面水質生物監測指標主要為糞大腸菌群、浮游植物和底棲動物。分析方法采用國家環保局《環境監測技術規范——生物監測（水環境）》部分進行。

1 河流生物監測評價結果

“十二五”期間，太子河本溪段河流水質中，老官砬子斷面糞大腸菌群屬良好，浮游植物和底棲動物屬輕度污染，詳見表1。

2 “十二五”與“十一五”期間河流生物指標比較

“十二五”與“十一五”期間太子河本溪段河流水質相比，老官砬子斷面的糞大腸菌群指標評價由清潔上升為良好，上升率為135.2%，浮游植物和底棲動物均屬輕度污染，變化幅度不明顯，詳見表2。

3 水質生物評價標準

多樣性指數評價：

糞大腸菌群：《地表水環境質量標準》（GB3838-2002）地表水水質分級法。

浮游植物、底棲動物：Shannon-Weaver多樣性指數（H）評價方法，參考污水生物系統評價方法。

式中：H為多樣性指數；S為種類；ni為樣品中第i種生物個數，N為樣品中各種生物總個數。生物指標評價標準見表3。

4 變化趨勢

4.1 變化趨勢

利用Spearman秩相關系數檢驗法對“十二五”期間，太子河本溪段老官砬子斷面的生物指標進行污染變化趨勢分析檢驗。結果表明，“十二五”期間太子河本溪段老官砬子斷面水質生物指標監測中，糞大腸菌群有顯著上升趨勢，但不顯著；而浮游植物顯著有上升趨勢；底棲動物不顯著。當a=0.05，n=5，Wp=0.900時，檢驗結果見表4。

水質生物指標污染變化趨勢檢驗結果

太子河本溪段老官砬子斷面2011-2015年糞大腸菌群和浮游植物年際變化見圖1。由圖1可得，“十二五”期間太子河本溪段老官砬子斷面生物指標監測中，糞大腸菌群和浮游植物除2013年下降外，其它年年均指標呈顯著上升趨勢。其中2015年糞大腸菌群監測值為0.96萬個/升，評價結果由“十一五”期間的清潔上升為“十二五”期間的良好，浮游植物多樣性指數為3.182，評價結果為輕度污染。

4.2 對策及建議

嚴格禁止在水源地保護區內新建工業、規?；B殖和餐飲等污染項目，加強城市和農村集中式飲用水源保護，保障飲用水的安全。強化水源地的水質全分析工作，加強匯水區工業污染源有毒有害物質管控，對其產生和排放嚴格管理，優先控制。

[責任編輯：王楠]

and（select top 1 asc（mid（username，1，1））from admin）>99

and（select top 1 asc（mid（username，1，1））from admin）=100

解析一下這個語句的含義。就是一些函數的使用技巧， asc（） 負責查詢某個字符的ascii碼值，mid（addr，start，len）這個函數負責選取某個字符串中從start開始len位的字符。本語句就是取出字符串的第一個字符了。當然第二個字符：

and（select top 1 asc（mid（username，2，1））from admin）>99就是這樣算的了，取出每一位的結果之后，轉換為對應的字符就是用戶名或者密碼了。

這就是為什么猜解表名、字段的時候，都是一條一條的出結果，而猜解字段值的時候，是一個字符一個字符的出結果了。

3 SQL注入攻擊的防御辦法

知道了黑客入侵的原理，也就知道怎么對應的做好防護了。從阿D注入工具入侵的步驟來看，主要就是通過提交非法SQL語句，根據不同的返回信息來確定猜測的表名、字段名、字段值是否正確，通過不斷的窮舉，最終猜解到準確的表名、字段名、字段值。所以防御的辦法就是阻斷猜解過程，一是不讓非法SQL語句提交、執行，二是不讓出錯信息在瀏覽器端顯示出來。下面詳細敘述：

1）對用戶在地址欄的輸入、傳入的Request函數等進行校驗，通過正則表達式，對單引號、SQL語句等進行判斷和過濾，阻止非法SQL語句的執行，防止SQL注入。

2）修改web服務器參數設置。SQL注入入侵是根據web服務錯誤提示信息來獲取信息進行入侵的?？梢园褀eb服務器設置成不管出什么樣的錯誤，只給出一種錯誤提示信息，即http 500錯誤，攻擊者就沒辦法從提示信息中獲取有用信息進行入侵了，注入工具也沒有辦法了。這個方法即簡單又有效，缺點就是代碼出錯時，會給程序的調試帶來很大的不便。不過，服務器畢竟不是測試代碼的地方，應堅持安全穩定第一，事實上許多服務器的出錯信息都是如此設置。

另外，利用檢測工具和手工檢測方法，對網站進行檢測，一旦發現存在漏洞，就對被注入的地址進行參數過濾和檢查。

【參考文獻】

[1]方偉，方欣，一個通用防止SQL注入系統的設計與實現[J].湖南理工學院學報：自然科學版，2012，12：25（4）.

[2]楊省偉，楊浩杰.SQL注入數據庫攻擊與防御技術研究[J].長沙大學學報，2013，9：27（5）.

[3]吳金秀.SQL注入攻擊與防御[J].陜西交通職業技術學院學報，2012（4）.

[責任編輯：王偉平]