XSS - SQL注入 - OWASP VS AntiXss Vs的微軟反跨站點腳本庫

Question

• 我們正在使用庫來幫助我們檢測SQL注入。

  • 我們使用sprocs和參數化語句，但是爲了這篇文章，我們只使用了一些檢測/驗證用戶輸入的庫。

什麼是最好的？最容易實現？最容易更新/管理？ 爲什麼喜歡一個在另一個？

在一個側面說明：

我剛開始使用Owasp。與C＃。 我希望在驗證時會有更多的默認規則。 使用isValid函數時，只有5個默認規則。

CREDIT_CARD - 信用卡驗證規則的規則名稱密鑰。 DATE - 日期驗證規則的規則名稱密鑰。 DOUBLE - 雙驗證規則的規則名稱密鑰。 INTEGER - 整數驗證規則的規則名稱密鑰。 PRINTABLE - 可打印驗證規則的規則名稱密鑰。

我希望能有更多的字符串SQL注入檢測的默認規則。

感謝

Answer 1

使用存儲的特效是在正確方向上的相當大的一步。我要補充的是輸入驗證，它看起來像你想要用OWASP ESAPI庫做的，但在大多數情況下用正則表達式實現它非常簡單。您應該爲大多數不受信任的數據找到大量公開可用的模式。

您可能想要做的另一件事是在您的數據層應用最小權限原則。考慮使用多個SQL帳戶，並將公共用戶使用的帳戶限制爲絕對最低限度的功能。你正在使用存儲過程;如果您尚未嘗試並避免使用任何數據讀取器或數據庫。在OWASP Top 10 for .NET developers part 1: Injection

Answer 2

更多信息我使用AntiXSS用於驗證用戶輸入 - 具體包括保護aganist SQL注入。我看到了一些攻擊，但沒有得到通過 - 所以似乎對我很好。

而且 - 特洛伊知道他在說什麼 - 他對這個問題的文章是一個非常好的一個:)