3
我們有一個ASP.NET/C#網站。我們的開發人員在亞洲離岸,我剛剛發現他們已經在網站前端放置了原始SQL。SQL注入漏洞
我很擔心我們現在很容易受到SQL注入攻擊。有誰知道我如何檢測網站上的漏洞,以及關閉這些漏洞的最佳方式是什麼?
Q
SQL注入漏洞
A
回答
6
試圖從正面可能幫助檢測漏洞,但真的,你應該看看代碼,尤其是所有與DbCommand,SqlCommand等有關的代碼。關鍵點,正如你清楚的知道的,絕不會把用戶輸入連接到一個查詢中,而是將它們參數化。可以使這個參數設置變得容易 - 或者至少比手動操作更容易。例如,如果您有:
using(var cmd = conn.CreateCommand()) {
cmd.CommandText = "delete from Orders where id = " + id;
cmd.ExecuteNonQuery();
}
然後像短小精悍點網工具可以讓你做這樣的事情:
conn.Execute("delete from Orders where id = @id", new {id});
這是少代碼,很大程度上是複製粘貼,而是完全注射安全,並允許查詢 - 計劃重用。
1
先看看這篇文章:How To: Protect From SQL Injection in ASP.NET
我會確保所有你要麼使用存儲過程exlusively或者如果你有regualr SQL命令你使用它們只與paramters永不動態構建CommandText property
的內容
4
1
嗯,我會命令他們向您發送的源代碼並執行代碼視圖(或有一個由相對experiend開發完成。
相關問題
- 1. Sql注入漏洞
- 2. SQL注入漏洞的奇數格式?
- 3. SQL Server vs MySQL - 經典ASP中的SQL注入漏洞
- 4. 這段代碼如何引入SQL注入漏洞?
- 5. Joomla 1.5/2.5/3的MySQL注入漏洞
- 6. 安全漏洞 - veracode報告 - crlf注入
- 7. 如何修復片段注入漏洞
- 8. 修復片段注入漏洞
- 9. Java中的命令注入漏洞
- 10. 查找安全漏洞 - 真正的SQL注入還是誤報?
- 11. 如何檢查是否存在SQL注入漏洞PROGRAMMATICALLY?
- 12. glibc fnmatch漏洞:如何揭露漏洞?
- 13. 沒有字符串連接的存儲過程SQL注入漏洞
- 14. Grails web應用免費測試工具來測試SQL注入和XSS漏洞
- 15. JSON中是否有任何注入漏洞?
- 16. 通過echo $ _POST vars代碼注入漏洞?
- 17. XSS漏洞
- 18. XSS漏洞
- 19. nHibernate漏洞
- 20. DotNetNuke漏洞
- 21. GlassFish目錄泄漏漏洞
- 22. 避免SQL Server中的盲注SQL漏洞的最佳做法 - ASP.Net
- 23. 瞭解Wordpress漏洞
- 24. MoPub安全漏洞
- 25. Kotlin擴展漏洞
- 26. PHP MySQL的漏洞
- 27. Libpng漏洞問題
- 28. NSXMLParser刷新漏洞
- 29. TOCTTOU代碼漏洞
- 30. 如何在不引入SQL注入漏洞的情況下在Hibernate Java Web服務中創建新表?
第一件事就是從前端和後端刪除所有內聯(原始)SQL,並且只使用存儲過程將值作爲參數傳遞 – 2011-12-16 10:48:53
前端在like中......在表單中作爲隱藏輸入和東西? – Corbin 2011-12-16 10:49:43
是,如表單/頁面上的輸入字段 – Rup 2011-12-16 10:51:10