XSS-SQL注异vs AntiXss Vs Microsoft防跨站脚本库
-
11-09-2019 - |
题
我们正在寻找使用图书馆,以帮助我们检测SQL注射。
- 我们正在使用sprocs和参数化的声明,但是为了这个职位,我们仅使用一些痛处的图书馆是检测/验证用户输入。
什么是最好的?最容易实现的?最简单的更新/管理?为什么喜欢一个比其他?
在一个侧面说明:
我刚刚开始使用 异.与。我希望,将有更多的默认规则,同时验证。当使用的isValid功能,只有5默认规则。
CREDIT_CARD--规则的名字的关键信用卡验证的规则。新规则--名称关键日期验证的规则。双--规则的名字的关键的双验证的规则。整--规则的名字的关键整验证的规则。可打印的规则--名称为关键的打印验证的规则。
我希望,将有更多的默认规则串SQL注射检测。
感谢
解决方案
使用存储的过程是一个相当大的步骤的方向是正确的。我想补充的是验证输入其它看起来像是你想做的异ESAPI库,但它非常简单,以实施通过regex在大多数情况下。你应该找到大量的公开可用的模式对最不可信的数据。
其他的事情你也许想要做的是适用该原则的少特权,在你的数据层。考虑使用多于一个SQL账户和限制进入你的帐户(s)使用的面向公众用户的绝对最低限度的功能。你使用的储存处;尝试和避免任何数据读取器或数据读取器的权利,如果您已经没有。
更多的信息 异10。网开发人员第1部分:注射
其他提示
我使用的AntiXSS验证用户输入具体包括保护aganist SQL注射。我已经看到了一些攻击,但没有得到通过-因此,似乎工作。
还特洛伊知道他在说什么-他的文章的主题是一个非常好的一个:)
不隶属于 StackOverflow