老官砬子断面水质生物指标变化趋势分析

王雪

老官砬子位于太子河干流，本溪市明山区牛心台镇梁家村，本溪县与本溪市交界处，属河流型地表水，于2003年启用。老官砬子是本溪市最大的集中饮用水源地，设计年取水量为12775万吨，供给本溪市区、石桥子开发区及本钢厂区生活饮用，服务人口78.9万人。

“十二五”期间，太子河本溪段老官砬子断面水质生物监测指标主要为粪大肠菌群、浮游植物和底栖动物。分析方法采用国家环保局《环境监测技术规范——生物监测（水环境）》部分进行。

1 河流生物监测评价结果

“十二五”期间，太子河本溪段河流水质中，老官砬子断面粪大肠菌群属良好，浮游植物和底栖动物属轻度污染，详见表1。

2 “十二五”与“十一五”期间河流生物指标比较

“十二五”与“十一五”期间太子河本溪段河流水质相比，老官砬子断面的粪大肠菌群指标评价由清洁上升为良好，上升率为135.2%，浮游植物和底栖动物均属轻度污染，变化幅度不明显，详见表2。

3 水质生物评价标准

多样性指数评价：

粪大肠菌群：《地表水环境质量标准》（GB3838-2002）地表水水质分级法。

浮游植物、底栖动物：Shannon-Weaver多样性指数（H）评价方法，参考污水生物系统评价方法。

式中：H为多样性指数；S为种类；ni为样品中第i种生物个数，N为样品中各种生物总个数。生物指标评价标准见表3。

4 变化趋势

4.1 变化趋势

利用Spearman秩相关系数检验法对“十二五”期间，太子河本溪段老官砬子断面的生物指标进行污染变化趋势分析检验。结果表明，“十二五”期间太子河本溪段老官砬子断面水质生物指标监测中，粪大肠菌群有显著上升趋势，但不显著；而浮游植物显著有上升趋势；底栖动物不显著。当a=0.05，n=5，Wp=0.900时，检验结果见表4。

水质生物指标污染变化趋势检验结果

太子河本溪段老官砬子断面2011-2015年粪大肠菌群和浮游植物年际变化见图1。由图1可得，“十二五”期间太子河本溪段老官砬子断面生物指标监测中，粪大肠菌群和浮游植物除2013年下降外，其它年年均指标呈显著上升趋势。其中2015年粪大肠菌群监测值为0.96万个/升，评价结果由“十一五”期间的清洁上升为“十二五”期间的良好，浮游植物多样性指数为3.182，评价结果为轻度污染。

4.2 对策及建议

严格禁止在水源地保护区内新建工业、规模化养殖和餐饮等污染项目，加强城市和农村集中式饮用水源保护，保障饮用水的安全。强化水源地的水质全分析工作，加强汇水区工业污染源有毒有害物质管控，对其产生和排放严格管理，优先控制。

[责任编辑：王楠]

and（select top 1 asc（mid（username，1，1））from admin）>99

and（select top 1 asc（mid（username，1，1））from admin）=100

解析一下这个语句的含义。就是一些函数的使用技巧， asc（） 负责查询某个字符的ascii码值，mid（addr，start，len）这个函数负责选取某个字符串中从start开始len位的字符。本语句就是取出字符串的第一个字符了。当然第二个字符：

and（select top 1 asc（mid（username，2，1））from admin）>99就是这样算的了，取出每一位的结果之后，转换为对应的字符就是用户名或者密码了。

这就是为什么猜解表名、字段的时候，都是一条一条的出结果，而猜解字段值的时候，是一个字符一个字符的出结果了。

3 SQL注入攻击的防御办法

知道了黑客入侵的原理，也就知道怎么对应的做好防护了。从阿D注入工具入侵的步骤来看，主要就是通过提交非法SQL语句，根据不同的返回信息来确定猜测的表名、字段名、字段值是否正确，通过不断的穷举，最终猜解到准确的表名、字段名、字段值。所以防御的办法就是阻断猜解过程，一是不让非法SQL语句提交、执行，二是不让出错信息在浏览器端显示出来。下面详细叙述：

1）对用户在地址栏的输入、传入的Request函数等进行校验，通过正则表达式，对单引号、SQL语句等进行判断和过滤，阻止非法SQL语句的执行，防止SQL注入。

2）修改web服务器参数设置。SQL注入入侵是根据web服务错误提示信息来获取信息进行入侵的。可以把web服务器设置成不管出什么样的错误，只给出一种错误提示信息，即http 500错误，攻击者就没办法从提示信息中获取有用信息进行入侵了，注入工具也没有办法了。这个方法即简单又有效，缺点就是代码出错时，会给程序的调试带来很大的不便。不过，服务器毕竟不是测试代码的地方，应坚持安全稳定第一，事实上许多服务器的出错信息都是如此设置。

另外，利用检测工具和手工检测方法，对网站进行检测，一旦发现存在漏洞，就对被注入的地址进行参数过滤和检查。

【参考文献】

[1]方伟，方欣，一个通用防止SQL注入系统的设计与实现[J].湖南理工学院学报：自然科学版，2012，12：25（4）.

[2]杨省伟，杨浩杰.SQL注入数据库攻击与防御技术研究[J].长沙大学学报，2013，9：27（5）.

[3]吴金秀.SQL注入攻击与防御[J].陕西交通职业技术学院学报，2012（4）.

[责任编辑：王伟平]