XSS-SQL注异vs AntiXss Vs Microsoft防跨站脚本库

Question

• 我们正在寻找使用图书馆，以帮助我们检测SQL注射。

  • 我们正在使用sprocs和参数化的声明，但是为了这个职位，我们仅使用一些痛处的图书馆是检测/验证用户输入。

什么是最好的？最容易实现的?最简单的更新/管理？为什么喜欢一个比其他？

在一个侧面说明:

我刚刚开始使用 异.与。我希望，将有更多的默认规则，同时验证。当使用的isValid功能，只有5默认规则。

CREDIT_CARD--规则的名字的关键信用卡验证的规则。新规则--名称关键日期验证的规则。双--规则的名字的关键的双验证的规则。整--规则的名字的关键整验证的规则。可打印的规则--名称为关键的打印验证的规则。

我希望，将有更多的默认规则串SQL注射检测。

感谢

Answer 1

使用存储的过程是一个相当大的步骤的方向是正确的。我想补充的是验证输入其它看起来像是你想做的异ESAPI库，但它非常简单，以实施通过regex在大多数情况下。你应该找到大量的公开可用的模式对最不可信的数据。

其他的事情你也许想要做的是适用该原则的少特权，在你的数据层。考虑使用多于一个SQL账户和限制进入你的帐户(s)使用的面向公众用户的绝对最低限度的功能。你使用的储存处;尝试和避免任何数据读取器或数据读取器的权利，如果您已经没有。

更多的信息 异10。网开发人员第1部分：注射

Answer 2

我使用的AntiXSS验证用户输入具体包括保护aganist SQL注射。我已经看到了一些攻击，但没有得到通过-因此，似乎工作。

还特洛伊知道他在说什么-他的文章的主题是一个非常好的一个:)