3
我們有一個ASP.NET/C#網站。我們的開發人員在亞洲離岸,我剛剛發現他們已經在網站前端放置了原始SQL。SQL注入漏洞
我很擔心我們現在很容易受到SQL注入攻擊。有誰知道我如何檢測網站上的漏洞,以及關閉這些漏洞的最佳方式是什麼?
Q
SQL注入漏洞
A
回答
6
試圖從正面可能幫助檢測漏洞,但真的,你應該看看代碼,尤其是所有與DbCommand,SqlCommand等有關的代碼。關鍵點,正如你清楚的知道的,絕不會把用戶輸入連接到一個查詢中,而是將它們參數化。可以使這個參數設置變得容易 - 或者至少比手動操作更容易。例如,如果您有:
using(var cmd = conn.CreateCommand()) {
cmd.CommandText = "delete from Orders where id = " + id;
cmd.ExecuteNonQuery();
}
然後像短小精悍點網工具可以讓你做這樣的事情:
conn.Execute("delete from Orders where id = @id", new {id});
這是少代碼,很大程度上是複製粘貼,而是完全注射安全,並允許查詢 - 計劃重用。
1
先看看這篇文章:How To: Protect From SQL Injection in ASP.NET
我會確保所有你要麼使用存儲過程exlusively或者如果你有regualr SQL命令你使用它們只與paramters永不動態構建CommandText property
的內容
4
1
嗯,我會命令他們向您發送的源代碼並執行代碼視圖(或有一個由相對experiend開發完成。
相關問題
- 1. Sql注入漏洞
- 2. SQL注入新漏洞
- 3. PHP Sql注入漏洞
- 4. SQL注入漏洞的奇數格式?
- 5. SQL Server vs MySQL - 經典ASP中的SQL注入漏洞
- 6. 這段代碼如何引入SQL注入漏洞?
- 7. 修復片段注入漏洞
- 8. Joomla 1.5/2.5/3的MySQL注入漏洞
- 9. 如何修復片段注入漏洞
- 10. 安全漏洞 - veracode報告 - crlf注入
- 11. Java中的命令注入漏洞
- 12. aspnet應用程序與IBM appcan之間的SQL注入漏洞
- 13. 現在已知的SQL注入漏洞是什麼?
- 14. 如何檢查是否存在SQL注入漏洞PROGRAMMATICALLY?
- 15. 查找安全漏洞 - 真正的SQL注入還是誤報?
- 16. SQL注入漏洞增加更多的平衡?
- 17. 使用int參數的SQL注入漏洞使用int參數
- 18. glibc fnmatch漏洞:如何揭露漏洞?
- 19. ReactJS中的安全漏洞或漏洞?
- 20. Grails web應用免費測試工具來測試SQL注入和XSS漏洞
- 21. 快速修復SQL注入漏洞的舊PHP網站的方法?
- 22. 沒有字符串連接的存儲過程SQL注入漏洞
- 23. JSON中是否有任何注入漏洞?
- 24. 通過echo $ _POST vars代碼注入漏洞?
- 25. nHibernate漏洞
- 26. wordpress timthumb.php漏洞
- 27. DotNetNuke漏洞
- 28. FWRITE漏洞
- 29. XSS漏洞
- 30. ActiveX漏洞
第一件事就是從前端和後端刪除所有內聯(原始)SQL,並且只使用存儲過程將值作爲參數傳遞 – 2011-12-16 10:48:53
前端在like中......在表單中作爲隱藏輸入和東西? – Corbin 2011-12-16 10:49:43
是,如表單/頁面上的輸入字段 – Rup 2011-12-16 10:51:10