我们正在寻找使用库来帮助我们检测SQL注入。
什么是最好的?最容易实现?最容易更新/管理? 为什么选择一个而不是另一个?
旁注:
我刚开始使用Owasp。用C#。 我希望在验证时会有更多的默认规则。 使用isValid函数时,只有5个默认规则。
CREDIT_CARD - 信用卡验证规则的规则名称密钥。 DATE - 日期验证规则的规则名称键。 DOUBLE - 双重验证规则的规则名称键。 INTEGER - 整数验证规则的规则名称键。 PRINTABLE - 可打印验证规则的规则名称键。
我希望字符串SQL注入检测会有更多默认规则。
由于
答案 0 :(得分:4)
使用存储过程是朝着正确方向迈出的重要一步。我要添加的是输入验证,它看起来像你正在尝试使用OWASP ESAPI库,但在大多数情况下通过regex实现起来非常简单。对于大多数不受信任的数据,您应该找到大量公开可用的模式。
您可能想要做的另一件事是在数据层应用最小权限原则。考虑使用多个SQL帐户,并限制公开用户使用的帐户对绝对最低功能的访问权限。你正在使用存储过程;如果您还没有,请尝试避免任何datareader或datareader权限。
中的更多信息答案 1 :(得分:1)
我正在使用AntiXSS来验证用户输入 - 特别是包括保护aganist SQL注入。我已经看到了一些攻击,但没有通过 - 所以似乎对我来说效果很好。
此外 - 特洛伊知道他在说什么 - 他关于这个主题的文章非常好:)