Ii-халықаралық Ғылыми конференцияның жинағЫ



жүктеу 5.01 Kb.
Pdf просмотр
бет37/45
Дата07.05.2017
өлшемі5.01 Kb.
1   ...   33   34   35   36   37   38   39   40   ...   45

СПИСОК ЛИТЕРАТУРЫ 
1.  Барсегян А.А. Методы и модели анализа данных: OLAP и DataMining / А.А. Барсегян, М.С. 
Куприянов, В.В. Степаненко, И.И. Холод. - СПб.:BHV, 2004. - 331 с. 
2.  Бирюков Е.В., Корнев М.С. Практическая реализация нечеткой нейронной сети при 
краткосрочном прогнозировании электрической нагрузки [Электронный ресурс] // Портал магистров 
ДонНТУ : сайт. - URL: http://www.masters.donntu.edu.ua/2006/kita/chuykov/library/library/article_5.htm 
(дата обращения 02.11.2010). 
3.  Дюк В.А. Data Mining - интеллектуальный анализ данных // Информационные технологии: 
сайт. - URL: http://www.inftech.webservis.ru/it/database/datamining/ar2.html (дата обращения 01.11.2010) 
4.  Манжула, В.Г. Методы «мягких» вычислений для аналитической обработки информации в 
условиях  неопределенности / В.Г.  Манжула,  С.А.  Морозов,  С.В.  Федосеев // Фундаментальные 
исследования. - 2009. - № 4. - С. 75-76. 
5.  Назаров  А.В.,  Лоскутов  А.И.  Нейросетевые  алгоритмы  прогнозирования  и  оптимизации 
систем/ А.В.Назаров, А.И. Лоскутов - СПб.: Наука и Техника, 2003. - 384 c. 
6.  Чубукова  И.А. Data Mining. - М.:  Изд-во  «Интернет-университет  информационных 
технологий - ИНТУИТ.ру», 2006. - 384 с.  
7.  Ярушкина  Н.Г.  Основы  теории  нечетких  и  гибридных  систем:  учеб.  пособие. - М.: 
Финансы и статистика, 2004. - 320 c. 
 
 
МЕТОДЫ ЗАЩИТЫ ОТ SQL-ИНЪЕКЦИЙ 
 
А.О. Сагымбекова  
Казахский национальный технический университет имени К.И.Сатпаева, Алматы 
 
In article processing and information security questions are considered. As an example SQL 
injections are used and methods of protection against them are given. 
 
Современная  жизнь  нашего  общества  очень  тесно  связана  с  новым  ресурсом,  называемым 
информацией.  Информация  становится  сегодня  главным  составляющим  научно-технического  и 
социально-экономического развития мирового сообщества и цивилизации. 
Важной категорией являются системы обработки информации, от которых во многом зависит 
эффективность  работы  любого  предприятия.  Одним  из  главных  составляющих  информационных 
систем являются базы данных. 
Большинство пользователей баз данных, такие как менеджеры, бухгалтеры - это люди далекие 
от  информационных  технологий,  поэтому  для  них  разрабатываются  программы  использования 
данных,  хранящихся  в  базе  данных.  Одним  из  типов  таких  приложений  являются  веб-приложения, 
которые предоставляют пользователю удобный и доступный интерфейс. 

255 
 
Все веб-сайты на сегодняшний момент интерактивны, и имеют формы ввода информации для 
взаимодействия  с  пользователями.  Примерами  являются:  поля  ввода  логина
 
и  пароля  для 
авторизации, поля для отправки текстовых сообщений через форму обратной связи, и др. 
Если  существует  поле  ввода,  значит,  обрабатывающий  скрипт  на  сервере  ждет  от 
пользователя какую-то информацию. Обработав ее, он совершает запрограммированные действия, а в 
случае с авторизацией, пользователь получает доступ к закрытым частям сайта. 
Если  в  алгоритме  работы php скрипта  заложена  соответствующая  проверка,  то  информация 
будет  отсеяна  и  пользователь  уведомлен  о  не  корректном  вводе.  Казалось  бы,  все  хорошо,  но 
пользователь может оказаться злоумышленником, и намеренно отправлять через поля ввода данные в 
виде кусочков SQL запросов. Такое действие получило название SQL инъекция
Другими  словами SQL  инъекцией можно  назвать  намеренное  действие  пользователя 
направленное на внедрение любого SQL запроса в логику работы скрипта, это атака на базу данных, 
которая позволит выполнить некоторое несанкционированное действие. 
SQL
 инъекция появляется из входящих данных, которые не фильтруются.  
Правила, соблюдение которых гарантирует от инъекций: 
1.  данные подставляются в запрос только через placeholder (плейсхолдер); 
2.  идентификаторы  и  ключевые  слова  подставляются  только  из  «белого  списка», 
прописанного в нашем коде. 
При использовании плейсхолдеров, любые данные должны попадать в запрос не напрямую, а 
через представителя (подстановочное выражение).  
Пример запроса, использующего подстановочное выражение: 
SELECT * FROMtableWHEREid> ? LIMIT ? 
Данные добавляются и обрабатываются отдельно. 
Преимущества этого метода: 
1. 
Код становится более короче, вся обработка скрыта внутри. 
2. 
Код  становится проще.  Не  нужно  запоминать  различные  правила  для  форматирования 
разных частей запроса 
3. 
Использование  плейсхолдеров  (при  условии,  что  они  корректно  обрабатываются) 
гарантирует нас от инъекций через данные.  
4. 
Данные  обрабатываются  там,  где  нужно,  это  очень  важный  момент.  В  классических 
учебниках по PHP форматирование данных для SQL разбросано по всему коду. А в старых версиях 
PHP оно и вовсе начиналось ещё даже до начала выполнения кода. Такая ситуация приводит к тому, 
что одни данные форматируются дважды, другие — только наполовину, а третьи — и вовсе ни разу 
или совсем не так, как нужно, без малейшей пользы.  
Поэтому  самым  лучшим  вариантом  будет  форматировать  данные  непосредственно  перед 
исполнением  запроса.  Таким  образом  мы  всегда  будем  уверены  в  том,  что  данные  форматируются 
корректно,  это  делается  только  один  раз,  и  отформатированные  данные  попадут  строго  по 
назначению — в базу данных и никуда больше. 
И вот как раз целям такой — своевременной, безопасной и корректной — обработки данных и 
служат плейсхолдеры, давая нам гарантию безопасности, в то же время упрощая код. 
Но  подстановка  данных  через  плейсхолдеры  должна  производиться всегда,  вне  зависимости 
от источника данных или каких-бы, то ни было других условий. 
Примеры использования: 
Код до использования плейсхолдеров: 
$stmt  =  $dbh ->prepare( "SELECT * FROM REGISTRY where name LIKE ?" );  
$stmt ->execute( array ( "%$_GET[name]%" ));  
$data  =  $stmt ->fetchAll();  
Код после использования плейсхолдеров: 
$ban  =  $db ->getRow( "SELECT 1 FROM ban WHERE ip = inet_aton(s:)" ,  $ip );  
В  реальности  мы  часто  сталкиваемся  с  необходимостью  подставлять  в  запрос  не  только 
данные,  но  и  другие  элементы — идентификаторы  (имена  полей  и  таблиц)  и  даже  элементы 
синтаксиса, ключевые слова. Пусть даже такие незначительные, как DESC или AND, но требования к 
безопасности таких подстановок всё равно должны быть не менее строгими. 
Пример.У  нас  есть  база  товаров,  которая  выводится  пользователю  в  виде HTML таблицы. 
Пользователь может сортировать эту таблицу по одному из полей, в любом направлении. То есть, как 

256 
 
минимум,  со  стороны  пользователя  к  нам  приходит  имя  колонки  и  направление 
сортировки. Подставлять  их  в  запрос  напрямую — гарантированная  инъекция.  Привычные  методы 
форматирования  здесь  не  помогут.  Подготовленные  выражения  ни  с  идентификаторами,  ни  с 
ключевыми словами не приведут ни к чему, кроме сообщения об ошибке.  
Единственное  решение — создание  «белого  списка» - списка  разрешенных  вариантов 
параметров и значений. Многие разработчики легко по ходу дела реализуют эту парадигму на ходу, 
впервые столкнувшись с необходимостью подстановки имени поля в запрос.  
Суть  метода  заключается  в  том,  что все  возможные  варианты  выбора  должны  быть  жёстко 
прописаны в нашем коде, и в запрос должны попадать только они, на основании пользовательского 
ввода. 
Примерприменения: 
$order       = 
isset ( $_GET [ 'order' ]) ?  $_GET [ 'order' ] :  '' ; 
// 
простодляполнотыкода
 
$sort     =  isset ( $_GET [ 'sort' ])  ?  $_GET [ 'sort' ]  :  '' ;  
$allowed  =  array ( "name" ,  "price" ,  "qty" ); 
//перечисляемварианты
 
$key      = array_search( $sort , $allowed ); 
// ищем среди них переданный параметр
 
$orderby  =  $allowed [ $key ]; 
//выбираем найденный (или, за счёт приведения типов 
- первый) элемент. 
 
$order    = ( $order  ==  'DESC' ) ?  'DESC'  :  'ASC' ; 
//  определяем  направление 
сортировки
 
$query    =  "SELECT * FROM `table` ORDER BY $orderby $order" ; 
//запрос 
100% безопасен
 
Раньше  считалось,  что  для  идентификаторов  достаточно  плейсхолдера.  Но  со  временем 
пришло понимание недостатков этого метода: 
  во-первых, в случае неверного имени поля запрос вызовет ошибку.  
  во-вторых, и гораздо более важных: если подставлять имена полей без предварительной 
фильтрации, автоматом, можно получить инъекцию другого рода — ведь пользователь тогда может 
вписать в те имена полей, которые ему изменять не положено. Например, если мы формируем SQL 
запрос  автоматически  на  базе  массива $_POST (при  этом  правильно  форматируя  имена  полей),  то 
злоумышленник  при  регистрации  добавляет  в  форму  поле admin со  значением «1» и  становится 
админом. 
Предлагается использовать оба метода: сначала получаем идентификатор из «белого списка». 
А  потом  добавляем  его  через  плейсхолдер — просто  чтобы  не  заниматься  форматированием 
вручную. В этом случае последняя строчка будет выглядеть, как  
$query  =  "SELECT * FROM `table` ORDERBYn: $order" ;  
В принципе, этой информации достаточно, чтобы начать писать безопасные запросы.  
SQL  инъекция  является  одой  из  наиболее  распространенной  и  более  эффективной  формой 
атаки на системы баз данных. Следуя принципам безопасной разработки программного обеспечения, 
таких  как  параметризация  входа  в  базу  данных,  дезинфекция  и  проверка  пользовательского  ввода, 
ограничение прав доступа предоставляется всем учетным записям до необходимого минимума.  
Защита  веб-приложений,  также  как  и  информационная  безопасность  в  целом,  должна  быть 
комплексной. 
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 
1.  Низамутдинов, М.Ф. Тактика защиты и нападения на web-приложения.– BHV-СПб, 2008. 
2.
 Дэвис, М.Е. Изучаем PHP и MySQL. – Символ-Плюс, 2008. 
3. Жуков, Ю. Основы веб-хакинга. Нападение и защита. – Питер, 2010. 
4. Джастин Кларк , SQL Injection Атака и защита. – Syngress,  2009 
 
 
 
 
 
 

257 
 
МЕТОДИКА ИНТЕГРИРОВАННОЙ ОЦЕНКИ КАЧЕСТВА ОБРАЗОВАТЕЛЬНЫХ 
ПРОЦЕССОВ 
 
С.С. Смаилова, ВКГТУ им. Д.Серикбаева, г. Усть-Каменогорск 
 
The article proposes a methodology to assess the quality of the educational process on the basis of 
expert assessment. Calculated by this method integrated indicator improves the objectivity of the assessment 
of  both the individual employee and the department 
 
Согласно  определению  международного  стандарта  ИСО 8402, под  качеством  понимается 
«Совокупность  свойств  и  характеристик  продукции  или  услуг,  которые  придают  им  способность 
удовлетворять  обусловленные  или  предполагаемые  потребности».  В  Японском  стандарте  дается 
следующее определение общефирменной системе управления качеством. Это – «система средств для 
экономичного  производства  продукции    или  видов  услуг  такого  качества,  которое  удовлетворяет 
запросам потребителей». 
В  большинстве  зарубежных  стран  система  управления  качеством  понимается,  как 
«интегрирующая  деятельность  различных  производственных  групп  и  ориентированная  на 
определение  уровня  качества,  его  достижение,  поддержание  и  повышение  с  целью  обеспечения 
выпуска  продукции,  полностью  и  наиболее  экономичным  путем  удовлетворяющей  запросам 
потребителей».  
Проблеме качества образования в обществе и государственных органах отводится критически 
важнейшее значение, и, как писал президент Союза негосударственных вузов Москвы и Московской 
области  И.М.  Ильинский: «Проблема  качества  образования  существовала  всегда.  Сейчас  она 
чрезвычайно  обострилась  не  только  в  России,  но  и  во  всем  мире.  При  этом  нет  четких  критериев 
понятия «качество образования». Показателей могут быть сотни…». 
Любая  система  управления  качеством  в  обязательном  порядке  предполагает  измерение  и 
контроль  уровня  качества.  Под  уровнем  качества  понимаются  характеристики  качества  по 
отношению к некоторой совокупности нормативных показателей, в качестве которых использованы 
показатели принятых аналогов или стандартов.  
В  каждом  ВУЗе  Казахстана  в  настоящее  время  действует  своя  система  оценки  качества 
деятельности,  как  отдельных  структурных  подразделений,  так  и  ППС.  Чаще  всего  эта  система 
оценки качества носит рейтинговый характер, в которой есть список индикаторов и количественная 
«цена» индикатора. В конце учебного года подводится итог, по принципу простого суммирования 
набранных  баллов  по  всем  индикаторам  и  выставляется  порядковый  рейтинг  отдельных 
сотрудников  ВУЗа  и  подразделений.  В  зависимости  от  места    сотрудника  в  порядковом 
рейтинговом  списке,  назначается  материальное  поощрение.  Данную  систему  можно  отнести  к  
системе    дифференцированной  оплаты  труда.  Общим  недостатком  подобных  систем  является 
высокая  доля  субъективной  составляющей  и  значительный  уровень  неопределенности 
нормативных показателей. 
Основными методами оценки уровня качества являются дифференциальный и комплексный 
[1].  Дифференциальный  метод  оценки  качества  основан  на  сравнении  основных  групп  технико-
экономических показателей исследуемого объекта с соответствующими характеристиками аналога 
или  стандарта.  Эффективность  (валидность)  оценки  зависит  от  того,  насколько  адекватен 
выбранный аналог. При выборе аналога, в первую очередь,  обращают внимание на его функции.  
Дифференциальный  метод  использует  отношение  сравниваемых  функциональных 
показателей [1] 
K
i
 = P

/P

,  i=1,2,3…..n,                                              (1) 
где K
i
 – значение i-го показателя качества изделия; Р
1ф 
–фактический 
единичный  показатель  качества.  Р

 – базовое  значение i-го  единичного  объекта.  При  этом 
сравнивают относительные единичные показатели качества по отдельности. 
Использование  данного  метода  оценки  предполагает  предварительный  выбор  ключевого 
наиболее важного показателя, что не всегда представляется возможным. 
В данной статье для оценки уровня качества образования рассматривается комплексный метод, 
заключающийся  в  расчете  для  каждого  образовательного  процесса  (подпроцесса)  показателя,  который 
функционально зависим от исходных показателей-индикаторов: 
 
                   К
i
 = F(х
i
,k
i
), i=1,2,3……n, 
(2) 

258 
 
где х
i
 –i-й показатель качества; k
i
, –его весовой коэффициент. 
Анализ различных источников показывает, что при определении интегральной оценки качества 
применяют  всевозможные  средневзвешенные  критерии,  при  этом  наибольшее  распространение 
получили следующие оценки:  
средневзвешенная арифметическая 



n
i
i
L
k
x
i
1
1
;                                                                                    (3) 
средневзвешенная геометрическая                             
ki
n
i
i
x
L
)
(
2
1



;                                                                                 (4) 
средневзвешенная гармоническая 





n
i
n
i
i
i
i
x
k
k
L
1
1
3
  ;                                                                                    (5) 
средневзвешенная квадратическая 
2
1
4
i
n
i
x
L
i
k



                                                                                        (6) 
2
1
)
1
(
1
5
i
i
x
L
n
i
k





.                                                                      (7) 
 
Аддитивная  форма  (средневзвешенное  суммирование)  наиболее  распространена,  хотя  ее 
недостатком [1]  является  возможность  «компенсации»  уровня  качества  одних  параметров  за  счет 
других.  Она  также  сохраняет  значимость  интегрального  показателя  качества  при  нулевых  значениях 
одного или нескольких индикаторов, и тогда мультипликативная форма представления выигрывает, хотя 
она легко преобразуется в аддитивную простым логарифмированием. 
Предлагаемая  методика  интегрированного  оценивания  качества  образовательных  процессов 
использует  все  пять    приведенных  выше  критериев.  В  связи  с  тем,  что  каждый  критерий  имеет,  как 
достоинства,  так  и  недостатки,  необходимо  присвоить  «вес» G
j
  каждому  из  них.  Тогда  общая  методика 
интегрированного оценивания качества образовательных процессов будет состоять из следующих этапов: 
1. Составление первоначального списка индикаторов. 
2. 
Согласование  экспертами  списка  индикаторов  и  определение  номенклатуры  наиболее 
информативных, по которой следует проводить оценку качества. 
3. 
Корреляционная обработка списка с целью выделения тесно коррелируемых между собой 
индикаторов и удаление из них наименее значимых. 
4. 
Ранжирование и определение коэффициентов весомостей индикаторов  качества. 
5. 
Количественная  оценка  значений  индикаторов  качества  по  отдельным  подразделениям  в 
конце отчетного периода в ВУЗе. 
6. 
Определение весомости критериев оценки качества образования. 
7. 
Расчет численных значений критериев качества Li. 
8. 
Расчет интегрального показателя качества  Q. 
Опираясь на государственные стандарты методов экспертного оценивания  [2,3,4], была выделена 
совокупность  индикаторов  качества  образовательных  процессов,  ранжированных  по  десятибалльной 
системе.  С  этой  целью  экспертная  группа,  включающая  ведущих  в  области  образования  специалистов 
составила  первоначальный  список  индикаторов.  Для  выявления  информационно  дублирующих  друг 
друга  индикаторов  список  был  подвержен  корреляционной  обработке  с  использованием  среды 
STATISTICA.  После  исключения  индикаторов  тесно  коррелирующих  между  собой,  был  получен 
окончательный список, который   представлен в таблице 1.  

259 
 
Таблица 1- Индикаторы качества образовательных процессов  вуза 
 
№п/п  Наименование показателя (Хi) «Вес» индикатора 
качества  в баллах   (кi) 
1  
Остепененность 10 

Количество  учебно-методических  материалов,  изданных  за  отчетный 
период  


Объем финансируемых НИР 8 

Количество стратегических партнеров 7 

Объем финансирования на  1-го штатного преподавателя 6 

Объем  ресурсов  направляемых  на  развитие  материально-технической 
базы 


Показатель академической успеваемости студентов (средний балл) 4 

Рейтинг специальности 3 

Площадь на одного студента 2 
 
В  таблице 1 приводится  перечень  наиболее  важных  и  слабокоррелируемых  между  собой 
индикаторов  оцененных  по  десятибалльной  системе.  При  этом  считается,  что  чем  выше  балл,  тем 
весомее индикатор. 
Как  следует  из  таблицы 1, наиболее  важным  показателем  является  «остепененность»  ППС. 
Принятые  нормативы  остепененности  в  Казахстане  варьируют  от 35% до 45%. Данный  показатель 
зависит от кадрового менеджмента в каждом отдельном ВУЗе. 
В связи с тем, что в Казахстане принята Программа Инновационно-индустриального развития 
государства,  резко  выросла  значимость  научно-исследовательской  работы,  что  также  отражено  в 
таблице 1.  
Следующий    этап  предусматривает  вычисление  средневзвешенных  критериев  по  формулам 
(3) – (7). Однако,  в  силу  уже  отмеченного  выше,  предварительно  необходимо  эти  критерии 
ранжировать.  Для  ранжирования  критериев  качества,  в  связи  с  важностью  этого  этапа,  были 
использованы два метода, метод попарного сопоставления [1] и метод бального оценивания.  
Суть метода попарного  сопоставления заключается в следующем. Каждому эксперту вручают 
таблицу, в которой по вертикали и по горизонтали указаны номера соответствующих критериев Li. 
Каждый  эксперт  последовательно  сравнивает  показатель  L1  с  показателями  L2,L3,…L5.  Если 
эксперт  считает,  что  показатель  Li  предпочтительнее  показателя  Lj,  то  в  первой  строке  в i-том 
столбце  он  ставит  единицув  противном  случае  ноль.  Затем  эксперт  последовательно  сравнивает 
показатель  L2  с  показателями  L3, L4,L5.  Аналогичные  операции  эксперт  производит 
последовательно с показателями L3,L4,L5. Таким образом, заполняют правый верхний угол таблицы, 
левый  нижний  угол  заполняют  противоположными  цифрами.  При  обработке  результатов  опроса 
экспертов  значения,  полученные  в  каждой  строчке,  суммируются.  Показателю,  имеющему 
минимальное значение присваивается ранг Ri = 1, следующему по значению показателю — ранг R= 2 
и т. д.  Так как предыдущие экспертные оценки выражены в бальной системе, то полученные ранги 
были  переведены  также  в  баллы.  Сравнение  результатов  попарного  сопоставление  и  простого 
бального оценивания показало их совпадение. Окончательные результаты приведены в таблице 2. 
 
Таблица 2 – Бальные оценки критериев качества 
 
№ 
Наименование критерия 
Обозначение 
Ранг (R) 
Балл (G) 

Средневзвешенная арифметическая L1 



Средневзвешенная геометрическая L2  1 
10 

Средневзвешенная гармоническая L3 



Средневзвешенная квадратическая L4  4 


Средневзвешенная квадратическая L5  5 

 
Вычисление результирующего интегрированного показателя качества образовательных 
процессов осуществляется в следующей последовательности: 
1.  По формулам (3) – (7) вычисляются значения L1 – L5. 
2.  Интегральный взвешенный показатель качества образовательных процессов определяется 
из выражения: 

260 
 
Q = 





5
1
5
1
i
I
I
i
i
i
L
G
G
L
 
Вычисленный  по  данной  методике  и  алгоритму  интегрированный  показатель  качества Q 
повысит  объективность  рейтинговых  оценок  деятельности,  как  отдельного  сотрудника,  так  и 
подразделений.  В  данной  статье  рассматривалась  только  деятельность  кафедры.  Для  оценки 
деятельности  других  подразделений  необходимо  разработать  свою  систему  индикаторов,  а  в  целом 
технология расчета сохраняется. 
Недостатком  предлагаемой  методики  следует  считать  то,  что  нормативы,  которые 
используются в деятельности ВУЗа, носят четкий характер, тогда как по своей природе они относятся 
к нечетким множествам. Поэтому, дальнейший путь в совершенствовании данного метода видится в 
использовании нечетких подходов. 

жүктеу 5.01 Kb.

Поделитесь с Вашими друзьями:
1   ...   33   34   35   36   37   38   39   40   ...   45




©emirb.org 2020
әкімшілігінің қараңыз

    Басты бет