王雪
"""老官砬子位于太子河干流,本溪市明山區牛心臺鎮梁家村,本溪縣與本溪市交界處,屬河流型地表水,于2003年啟用。老官砬子是本溪市最大的集中飲用水源地,設計年取水量為12775萬噸,供給本溪市區、石橋子開發區及本鋼廠區生活飲用,服務人口78.9萬人。
“十二五”期間,太子河本溪段老官砬子斷面水質生物監測指標主要為糞大腸菌群、浮游植物和底棲動物。分析方法采用國家環保局《環境監測技術規范——生物監測(水環境)》部分進行。
1 河流生物監測評價結果
“十二五”期間,太子河本溪段河流水質中,老官砬子斷面糞大腸菌群屬良好,浮游植物和底棲動物屬輕度污染,詳見表1。
2 “十二五”與“十一五”期間河流生物指標比較
“十二五”與“十一五”期間太子河本溪段河流水質相比,老官砬子斷面的糞大腸菌群指標評價由清潔上升為良好,上升率為135.2%,浮游植物和底棲動物均屬輕度污染,變化幅度不明顯,詳見表2。
3 水質生物評價標準
多樣性指數評價:
糞大腸菌群:《地表水環境質量標準》(GB3838-2002)地表水水質分級法。
浮游植物、底棲動物:Shannon-Weaver多樣性指數(H)評價方法,參考污水生物系統評價方法。
式中:H為多樣性指數;S為種類;ni為樣品中第i種生物個數,N為樣品中各種生物總個數。生物指標評價標準見表3。
4 變化趨勢
4.1 變化趨勢
利用Spearman秩相關系數檢驗法對“十二五”期間,太子河本溪段老官砬子斷面的生物指標進行污染變化趨勢分析檢驗。結果表明,“十二五”期間太子河本溪段老官砬子斷面水質生物指標監測中,糞大腸菌群有顯著上升趨勢,但不顯著;而浮游植物顯著有上升趨勢;底棲動物不顯著。當a=0.05,n=5,Wp=0.900時,檢驗結果見表4。
水質生物指標污染變化趨勢檢驗結果
太子河本溪段老官砬子斷面2011-2015年糞大腸菌群和浮游植物年際變化見圖1。由圖1可得,“十二五”期間太子河本溪段老官砬子斷面生物指標監測中,糞大腸菌群和浮游植物除2013年下降外,其它年年均指標呈顯著上升趨勢。其中2015年糞大腸菌群監測值為0.96萬個/升,評價結果由“十一五”期間的清潔上升為“十二五”期間的良好,浮游植物多樣性指數為3.182,評價結果為輕度污染。
4.2 對策及建議
嚴格禁止在水源地保護區內新建工業、規?;B殖和餐飲等污染項目,加強城市和農村集中式飲用水源保護,保障飲用水的安全。強化水源地的水質全分析工作,加強匯水區工業污染源有毒有害物質管控,對其產生和排放嚴格管理,優先控制。
[責任編輯:王楠]
and(select top 1 asc(mid(username,1,1))from admin)>99
and(select top 1 asc(mid(username,1,1))from admin)=100
解析一下這個語句的含義。就是一些函數的使用技巧, asc() 負責查詢某個字符的ascii碼值,mid(addr,start,len)這個函數負責選取某個字符串中從start開始len位的字符。本語句就是取出字符串的第一個字符了。當然第二個字符:
and(select top 1 asc(mid(username,2,1))from admin)>99就是這樣算的了,取出每一位的結果之后,轉換為對應的字符就是用戶名或者密碼了。
這就是為什么猜解表名、字段的時候,都是一條一條的出結果,而猜解字段值的時候,是一個字符一個字符的出結果了。
3 SQL注入攻擊的防御辦法
知道了黑客入侵的原理,也就知道怎么對應的做好防護了。從阿D注入工具入侵的步驟來看,主要就是通過提交非法SQL語句,根據不同的返回信息來確定猜測的表名、字段名、字段值是否正確,通過不斷的窮舉,最終猜解到準確的表名、字段名、字段值。所以防御的辦法就是阻斷猜解過程,一是不讓非法SQL語句提交、執行,二是不讓出錯信息在瀏覽器端顯示出來。下面詳細敘述:
1)對用戶在地址欄的輸入、傳入的Request函數等進行校驗,通過正則表達式,對單引號、SQL語句等進行判斷和過濾,阻止非法SQL語句的執行,防止SQL注入。
2)修改web服務器參數設置。SQL注入入侵是根據web服務錯誤提示信息來獲取信息進行入侵的??梢园褀eb服務器設置成不管出什么樣的錯誤,只給出一種錯誤提示信息,即http 500錯誤,攻擊者就沒辦法從提示信息中獲取有用信息進行入侵了,注入工具也沒有辦法了。這個方法即簡單又有效,缺點就是代碼出錯時,會給程序的調試帶來很大的不便。不過,服務器畢竟不是測試代碼的地方,應堅持安全穩定第一,事實上許多服務器的出錯信息都是如此設置。
另外,利用檢測工具和手工檢測方法,對網站進行檢測,一旦發現存在漏洞,就對被注入的地址進行參數過濾和檢查。
【參考文獻】
[1]方偉,方欣,一個通用防止SQL注入系統的設計與實現[J].湖南理工學院學報:自然科學版,2012,12:25(4).
[2]楊省偉,楊浩杰.SQL注入數據庫攻擊與防御技術研究[J].長沙大學學報,2013,9:27(5).
[3]吳金秀.SQL注入攻擊與防御[J].陜西交通職業技術學院學報,2012(4).
[責任編輯:王偉平]