2.SQL注入的正则表示式

　　当你为SQL注入攻击选择正则表示式的时候，重点要记住攻击者可以通过提交表单进行SQL注入，也可以通过Cookie区域。你的输入检测逻辑应该考虑用户组织的各类型输入(比如表单或Cookie信息)。并且如果你发现许多警告来自一个规则，请留意单引号或者是分号，也许些字符是你的Web应用程序创造的合法的在CookieS中的输入。因此，您需要根据你的特殊的WEB应用程序评估每个规则。

　　依照前面提到，一个琐细的检测SQL射入攻击的正则表达式要留意SQL特殊的meta-characters譬如单引号(’)双重扩则号(--)，为了查出这些字符和他们hex等值数，以下正则表达式适用：

　　2.1检测SQLmeta-characters的正则表达式

　　/(%27)|(’)|(--)|(%23)|(#)/ix

　　解释:

　　我们首先检查单引号等值的hex，单引号本身或者双重扩折号。这些是MSSQLServer或Oracle的字符,表示后边的为评论,随后的都将被忽略。另外，如果你使用MySQL,你需要留意’#’和它等值的hex的出现。注意我们不需要检查双重破折号等值的hex,因为这不是HTMLmeta- character,浏览器不会进行编码。并且,如果攻击者设法手工修改双重破折号为它的hex值%2D(使用代理像 Achilles[ref5]),SQL注入将失败。

　　加入上述正则表达式的新的Snort规则如下:

　　 alerttcp$EXTERNAL_NETany->$HTTP_SERVERS$HTTP_PORTS(msg:"SQLInjection-Paranoid";flow:to_server,established;uricontent:".pl";pcre:"/(%27)|(’)|(--)|(%23)|(#)/i";classtype:Web-application-attack;sid:9099;rev:5;)

　　在本篇讨论中,uricontent关键字的值为".pl",因为在我们的测试环境里,CGI程序是用Perl写的。uricontent关键字的值取决于您的特殊应用,这个值也许是".php",或".asp",或".jsp",等。从这点考虑,我们不显示对应的Snort规则,但是我们会给出创造这些规则的正则表达式。通过这些正则表达式你可以很简单的创造很多的Snort规则.在前面的正则表达式里,我们检测双重破折号是因为：即便没有单引号的存在那里也可能是SQL射入点[ref6]。例如,SQL查询条目只包含数值，如下:

　　selectvalue1,value2,num_value3fromdatabase

　　wherenum_value3=some_user_supplied_number

　　这种情况，攻击者可以执行额外的SQL查询,示范提交如下输入:

　　3;insertvaluesintosome_other_table

　　最后,pcre的修饰符’i’和’x’是用于分别匹配大小写和忽略空白处的。上面的规则也可以另外扩展来检查分号的存在。然而，分号很可以是正常HTTP应答的一部分。为了减少这种错误，也是为了任何正常的单引号和双重扩折号的出

　　现，上面的规则应该被修改成先检测＝号的存。用户输入会响应一个GET或POST请求，一般输入提交如下：

　　username=some_user_supplied_value&password=some_user_supplied_value

　　因此,SQL注入尝试将导致用户的输入出现在a=号或它等效的hex值之后。

　　2.2修正检测SQLmeta-characters的正则表达式

　　/((%3D)|(=))[^n]*((%27)|(’)|(--)|(%3B)|(:))/i