问题标签 [sql-injection]

我正在寻找一种可以检测恶意请求（例如明显的 SQL 注入获取或帖子）并会立即禁止请求者的 IP 地址/添加到黑名单的工具。我知道，在理想的世界中，我们的代码应该能够处理此类请求并相应地处理它们，但是即使站点可以免受此类攻击，这种工具也有很多价值，因为它可能导致节省带宽，防止分析膨胀等。

LAMP/.NET理想情况下，我正在寻找比技术堆栈更高级别的跨平台 ( ) 解决方案；也许在网络服务器或硬件级别。不过，我不确定这是否存在。

无论哪种方式，我都想听听社区的反馈，以便了解我在实施和方法方面的选择。

用户等于不可信。永远不要相信不可信用户的输入。我明白了。但是，我想知道清理输入的最佳时间是什么时候。例如，您是否盲目地存储用户输入，然后在访问/使用时对其进行清理，或者您是否立即清理输入然后存储此“清理”版本？除了这些之外，也许还有一些我没有想到的其他方法。我更倾向于第一种方法，因为任何来自用户输入的数据仍然必须谨慎处理，“清理”的数据可能仍然在不知不觉中或意外危险。无论哪种方式，人们认为哪种方法最好，出于什么原因？

是否有可以检测字符串中的 SQL 的正则表达式？有没有人有他们以前用过的东西的样本来分享？

我们与潜在客户进行了很多公开讨论，他们经常询问我们的技术专长水平，包括我们当前项目的工作范围。为了衡量他们现在或以前使用过的员工的专业水平，我做的第一件事是检查 XSS 和 SQL 注入等安全漏洞。我还没有找到易受攻击的潜在客户，但我开始怀疑，他们是否真的认为这项调查有帮助，或者他们是否会认为，“嗯，如果我们不与他们做生意，这些人会破坏我们的网站。” 非技术人员很容易被这些东西吓到，所以我想知道这是一种善意的表现，还是一种糟糕的商业行为？

如果用户输入未经修改就插入到 SQL 查询中，则应用程序容易受到SQL 注入的攻击，如下例所示：

那是因为用户可以输入类似value'); DROP TABLE table;--的内容，查询变为：

可以做些什么来防止这种情况发生？

我继承了一个大型的旧版 ColdFusion 应用程序。有数百个 <cfquery>some sql here #variable#</cfquery> 语句需要沿以下行参数化： <cfquery> some sql here <cfqueryparam value="#variable#"/> </cfquery>

如何以编程方式添加参数化？

我曾考虑过编写一些正则表达式或 sed/awk'y 之类的解决方案，但似乎某个地方的某个人已经解决了这样的问题。自动推断 sql 类型可获得奖励积分。

如果我从 SQL 查询中删除所有 ' 字符，还有其他方法可以对数据库进行 SQL 注入攻击吗？

如何做呢？谁能给我例子？

我们有数百个使用 asp、.net 和 java 开发的网站，我们支付大量资金让外部机构对我们的网站进行渗透测试，以检查安全漏洞。有没有（好的）软件（付费或免费）可以做到这一点？

或者.. 是否有任何技术文章可以帮助我开发此工具？

默认情况下，ADOdb 是否在同一功能内进行数据清理或转义？还是我只是将它与 Code Igniter 的内置进程混淆了？

将变量绑定到 ADOdb for PHP 中的参数是否以任何方式防止 SQL 注入？

We all know that prepared statements are one of the best way of fending of SQL injection attacks. What is the best way of creating a prepared statement with an "IN" clause. Is there an easy way to do this with an unspecified number of values? Take the following query for example.

Currently I'm using a loop over my possible values to build up a string such as.

Is it possible to use just pass an array as the value of the query paramter and use a query as follows?

In case it's important I'm working with SQL Server 2000, in VB.Net