接口防止sql注入

ICS35.
240.
60R07JT中华人民共和国交通运输部行业标准JT/TXXXXX—XXXX交通运输信息系统接口标准编写规范Dataexchangeinterfacespecificationfortransportationinformationsystems点击此处添加与国际标准一致性程度的标识(征求意见稿)(本稿完成日期:2016.
11)XXXX-XX-XX发布XXXX-XX-XX实施中华人民共和国交通运输部发布JT/TXXXXX—XXXXI目次前言II引言III1范围12规范性引用文件13术语和定义14缩略语25通用要求26接口类型27接口函数说明38接口发布39接口数据内容410接口调用流程411接口性能要求6参考文献8JT/TXXXXX—XXXXII前言本标准按照GB/T1.
1-2009给出的规则起草.
本标准由交通运输信息通信及导航标准化技术委员会提出并归口.
本标准起草单位:长安大学.
本标准主要起草人:JT/TXXXXX—XXXXIII引言在交通运输信息化中,存在大量需要进行信息共享和数据交换的业务系统.
目前,各业务系统参照各业务领域制定的接口标准进行数据共享或交换,大部分的接口仅规定了交换数据字段和数据类型,个别接口涉及了数据组织格式和接口实现,存在内容不规范、数据定义随意和难以操作等问题,严重阻碍了交通运输信息数据的共享与交换.
本规定作为一个上位标准,给出各类接口标准的编写规范,供编制时参考.
JT/TXXXXX—XXXX1交通运输信息系统接口标准编写规范1范围本标准规定了交通运输信息系统接口标准的规范性编写方法,主要内容包括:通用要求、接口类型、接口函数说明、接口发布、接口数据内容、接口调用流程和接口性能要求等.
本标准适用于交通运输信息系统接口类标准制修订的全过程.
2规范性引用文件下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅所注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.
JT/T697.
1交通信息基础数据元第1部分:总则JT/T1021-2016交通运输信息系统基于XML的数据共享和交换通用规则3术语和定义JT/T1021界定的以及下列术语和定义适用于本文件.
为了便于使用,以下重复列出了JT/T1021中的一些术语和定义.
3.
1数据交换包dataexchangepacket包含不同业务系统之间需要进行信息交换的数据及数据属性的文本,由数据包头、数据包体组成,其长度可变.
[JT/T1021-2016,定义3.
1]3.
2数据包头packetheader数据包基本属性信息的文本,包括数据包标识、数据包功能、数据包参考号、发送方标识、接收方标识、数据包生成日期及时间、数据加密、数据压缩等属性.
[JT/T1021-2016,定义3.
2]3.
3数据包体packetbody不同业务系统之间需要共享或交换的数据.
[JT/T1021-2016,定义3.
3]3.
4JT/TXXXXX—XXXX2服务系统serversystem交通运输信息系统中提供接口的实体.
3.
5客户端clientsystem调用接口的交通运输信息系统.
在对等工作模式下进行通信的发起方也统称为客户端.
3.
6服务器端serversystem提供接口的交通运输信息系统.
在对等工作模式下进行通信的接收方也统称为服务器端.
4缩略语下列缩略语适用于本文件.
ASCII:美国信息交换标准代码(AmericanStandardCodeforInformationInterchange)FTP:文件传输协议(FileTransferProtocol)HTTP:超文本传输协议(HypertextTransferProtocol)IP:互联网协议(InternetProtocol)IPv6:互联网协议第6版(InternetProtocolVersion6)PASV:被动模式传送(PASVMode)TCP/IP:网络通信协议,既传输控制协议/因特网互联协议(TransmissionControlProtocol/InternetProtocol)UDDI:统一描述、发现和集成(UniversalDescription,Discovery,andIntegration)WEB:泛指网络、互联网(Web)XML:可扩展标记语言(ExtensibleMarkupLanguage)5通用要求交通运输信息系统接口标准编写应满足以下通用要求:a)接口标准的制定应尽量准确,保持开放性和通用性,接口数据元素应尽可能与交通信息基础数据元保持一致;b)接口标准对于服务器端的规定应以性能为主,主要规定客户端与服务器端的对接方式.
6接口类型6.
1概述常用的接口类型包括套接字接口、Web服务接口和文件传输接口三类.
其他类型的接口标准参照本标准执行.
6.
2套接字接口JT/TXXXXX—XXXX3套接字接口在TCP/IP网络中是一种面向应用层的通信机制.
套接字接口标准编写应给出套接字类型.
根据下层协议的不同分为流式套接字、数据包套接字两种类型.
6.
3Web服务接口Web服务是一个分布式计算模型,使用标准网络协议(如HTTP)和XML数据格式进行通信,便于异构系统之间的通信、程序复用和数据共享,具有良好的封装性、松散耦合性和高度可集成能力,是目前常用的分布式应用程序开发技术.
Web服务接口标准编写应给出Web服务协议的版本号.
6.
4文件传输接口文件传输接口是利用文件传输协议,实现互联网上服务器端与客户端之间的双向文件传输.
文件传输接口标准编写应明确文件的传输方式.
FTP的传输有两种方式:ASCII传输方式和二进制传输方式.
7接口函数说明7.
1套接字接口套接字接口涉及到客户端和服务器端.
套接字接口标准编写应对客户端和服务器端关键函数的主要参数进行说明.
主要包括:a)客户端参数:通信域、套接字类型、通信协议、服务器的IP地址、端口号及服务器函数工作模式等;b)服务器端参数:通信域、套接字类型、通信协议、端口号及队列长度等.
7.
2Web服务接口Web服务接口涉及到服务提供者、服务请求者和服务注册中心.
服务提供者制定接口函数并将其在服务注册中心进行发布,服务请求者在服务注册中心发现接口并以远程对象方法调用的形式使用.
Web服务接口标准编写应对服务的提供者和请求者对接口函数所涉及的存放远程对象的网络地址、对象提供的方法(名称)以及方法中参变量的数量、参数名和参数类型进行说明.
7.
3文件传输接口文件传输接口标准编写应对是否允许"下载"(Download)和"上传"(Upload)、服务器是否支持IPv6、是否支持PASV模式连接、自动登录限制及是否允许调试等进行说明.
8接口发布接口标准应对接口的发布方式进行说明,便于接口调用者发现.
对于套接字接口和文件传输接口可通过网站发布;Web服务接口宜通过UDDI注册中心发布,也可通过网站发布.
通过UDDI进行Web服务接口发布的基本流程如下:a)服务提供方向UDDI注册中心注册该机构及其提供的Web服务描述;b)UDDI注册中心给每个实体制定在相关程序中唯一的标识符,以便随时了解这些实体的当前情况;c)服务请求方使用UDDI注册中心发现所需的Web服务;d)服务请求方调用这些服务,借助应用程序的动态集成,实现不同业务系统间的数据交换.
JT/TXXXXX—XXXX49接口数据内容9.
1数据内容组织交通运输信息系统数据交换内容宜以XML格式进行组织.
接口数据内容的组织宜采用JT/T1021中规定的数据交换包或者简体数据交换包的格式.
9.
2数据项的定义接口标准应对交换的数据项进行定义.
数据项的定义应包括表1所示的内容.
表1数据项的基本信息及填写要求序号名称数据类型格式必填项备注1序号数值型ns.
.
m是填写接口函数中参数的序号2父元素名称字符型文本是对应于业务名称3数据项名称字符型文本是对应于业务数据元素名称4数据约束字符型文本是5数据类型字符型文本是见JT/T1021-20166数据长度数值型ns.
.
m是7数据单位字符型文本是8数据值域字符型文本是对该数据项的值域,例如采用的代码、编码等进行描述9数据描述信息字符型文本否其他说明10数据元编号字符型文本否对应于数据元索引编号11数据元名称字符型文本否对应数据元名称,见JT/T697.
112数据取值说明字符型文本否注:ns.
.
m表示32位有符号整数.
10接口调用流程10.
1套接字接口交通运输信息系统接口标准编写应对套接字接口调用流程进行规定.
套接字接口调用的一般流程包括:a)客户端流程为:1)创建套接字描述符(socket);2)设置服务器的IP地址和端口号(需要转换为网络字节序的格式);3)请求建立到服务器的TCP连接并阻塞,直到连接成功建立(connect);4)向套接字描述符写入请求(write);5)从套接字描述符读取来自服务器的应答(read);6)关闭套接字描述符(close).
c)服务器端流程为:1)创建套接字描述符(socket);2)设置服务器的IP地址和端口号(需要转换为网络字节序的格式);3)将套接字描述符绑定到服务器地址(bind);JT/TXXXXX—XXXX54)将套接字描述符设置为监听套接字描述符(listen),等待来自客户端的连接请求,监听套接字维护未完成连接队列和已完成连接队列;5)从已完成连接队列中取得队首项,返回新的已连接套接字描述符(accept),如果已完成连接队列为空,则会阻塞;6)从已连接套接字描述符读取来自客户端的请求(read);7)向已连接套接字描述符写入应答(write);8)关闭已连接套接字描述符(close),回到第5步等待下一个客户端的连接请求.
10.
2Web服务接口交通运输信息系统接口标准编写应对Web服务接口调用流程进行规定.
Web服务接口调用的一般流程见图1,具体包括:a)准备工作,需要准备验证数字签名的证书、加密密钥和约定服务接口参数的具体XML格式等;准备工作完成后,按照如图1所示的交互过程进行服务接口的调用.
b)服务提供者和服务调用者交换验证数字签名的证书,加密密钥和约定服务接口参数的具体XML格式;c)客户端按照已规定的参数文档格式构造XML文档或者XML文档的片段,使用签名证书中的私钥对参数文档进行签名(如图1中流程②所示);d)使用加密密钥对签名后的文档或文档片段进行加密(如图1中流程③所示),调用服务接口向服务器端发送请求信息(如图1中流程④所示);e)服务器端根据客户端已交换的加密密钥对加密外围业务系统传入的文档进行解密(如图1中流程⑤所示),成功解密后再利用相应的数字签名证书对签名信息进行校验(如图1中流程⑥所示),若校验成功则调用相关函数对其中的数据进行处理,生成共享数据包文(如图1中流程⑦所示);f)服务器端根据JT/T1021附录B中数据交换包的XMLSchema的结构生成原始XML共享数据包,然后对共享数据包包体部分(元素)进行数字签名,加密处理然后返回给客户端系统,即图1中所示的流程⑧、⑨和⑩;g)客户端系统根据服务器端已交换的密钥对返回的数据包进行解密,成功解密后利用数字证书公钥对数据包的签名进行校验,若校验成功则证明数据有效,最后提取其中的结果数据,完成整个通信过程,即图1中所示的流程、和.
JT/TXXXXX—XXXX6图1接口调用过程示意图10.
3文件传输接口交通运输信息系统接口标准编写应对文件传输接口调用流程进行规定.
文件传输接口调用的一般流程包括:a)利用Linux/Windows系统中的FTP命令连接远程文件服务器;b)输入用户名及密码;c)利用ASCII或BINARY命令设置文件传输方式;d)利用get或put命令进行文件的下载或上传;e)断开远程文件服务器并退出ftp.
11接口性能要求交通运输信息系统接口标准编写应给出接口性能指标.
接口性能指标包括:a)吞吐量:是单位时间内业务系统所交换完成的数据量,与接口调用的频率和接口单次传输数据量大小有关,吞吐量除以传输时间可以获得吞吐率;b)请求响应时间:是从客户端发起一个请求开始,到客户端接收到从服务器端返回的响应结束所耗费的时间;c)事务响应时间:是针对用户而言,是由一系列的请求组成,用来直接衡量系统性能的参数;d)周转时间:对一个交换业务而言,是从交换请求提交到交换请求完成的时间间隔;JT/TXXXXX—XXXX7e)并发连接数:客户端向服务器发起请求,并建立了TCP连接,每秒钟服务器链接的总TCP数量.
其他有关Web服务连接安全性的要求,如访问限制、防SQL注入和防XSS攻击等,接口标准可根据需要自行规定.
JT/TXXXXX—XXXX8参考文献[1]GB/T7408-2005数据元和交换格式信息交换日期和时间表示法[2]GB/T18793-2002信息技术可扩展置标语言