Penangkapan SQL Injection, dan berselancar di Web Permintaan

Anda hampir tidak melihat hal itu dengan cara yang salah, tidak ada 3party alat yang tidak mengetahui aplikasi metode/penamaan/data/domain ini akan akan bisa sempurna melindungi anda.

Sesuatu seperti SQL injection pencegahan adalah sesuatu yang harus di kode, dan terbaik yang ditulis oleh orang-orang yang menulis SQL, karena mereka adalah orang-orang yang akan tahu apa yang seharusnya/tidak seharusnya berada dalam bidang tersebut (kecuali proyek anda memiliki sangat baik docs)

Anda benar, ini semua telah dilakukan sebelumnya. Anda tidak cukup harus menemukan kembali roda, tetapi anda harus mengukir baru karena perbedaan dalam diri setiap orang's poros diameter.

Ini bukan drop-in dan jalankan masalah, anda benar-benar harus menjadi akrab dengan apa yang sebenarnya SQL injection adalah sebelum anda dapat mencegah hal itu. Itu adalah licik masalah, sehingga dibutuhkan sama-sama licik perlindungan.

Ini 2 link mengajarkan saya jauh lebih kemudian dasar-dasar pada subjek untuk memulai, dan membantu saya frase yang lebih baik masa depan saya lookup pada pertanyaan-pertanyaan spesifik yang tidak't menjawab.

• SQL injection
• Serangan Injeksi SQL dengan Contoh

Dan sementara ini tidak cukup 100% finder, itu akan "menunjukkan cahaya" pada masalah yang ada dalam kode yang ada, tetapi seperti dengan webstandards, dont stop coding setelah anda lulus tes ini.

• Exploit-Me

Masalah dengan alat generik adalah bahwa hal itu sangat sulit untuk datang dengan seperangkat aturan yang hanya akan pertandingan melawan asli menyerang.

SQL kata kunci semua kata-kata bahasa inggris, dan don't lupa bahwa string

 DROP TABLE users;

adalah hal yang sah dalam bentuk bidang itu, misalnya, berisi jawaban atas pertanyaan pemrograman.

Satu-satunya pilihan yang masuk akal adalah untuk membersihkan input sebelumnya pernah lewat ke database tapi menyebarkannya tetap. Jika tidak, banyak hal yang normal, non-pengguna yang jahat akan mendapatkan dilarang dari situs anda.

Satu hal yang perlu diingat: Di beberapa negara (yaitu, sebagian besar dari Eropa), orang-orang yang tidak memiliki Alamat IP statis, sehingga daftar hitam tidak harus selamanya.

Salah satu metode yang mungkin bekerja untuk beberapa kasus akan mengambil string sql yang akan dijalankan jika anda naif yang digunakan berupa data dan menyebarkannya ke beberapa kode yang menghitung jumlah pernyataan yang benar-benar akan dilaksanakan. Jika lebih besar dari jumlah yang diharapkan, maka ada kesempatan baik bahwa suntikan diupayakan, terutama untuk bidang-bidang yang tidak mungkin untuk memasukkan karakter kontrol seperti username.

Sesuatu yang normal seperti kotak teks akan menjadi sedikit lebih sulit karena metode ini akan lebih banyak kemungkinan untuk kembali positif palsu, tetapi ini akan menjadi sebuah awal, setidaknya.

Oracle telah mendapat online tutorial tentang SQL Injection. Meskipun anda ingin solusi siap pakai, ini mungkin memberi anda beberapa petunjuk tentang cara untuk menggunakannya baik untuk membela diri.

Sekarang aku berpikir tentang hal itu, filter Bayesian yang mirip dengan yang digunakan untuk memblokir spam yang mungkin bekerja terlalu sopan. Jika anda punya bersama satu set teks normal untuk masing-masing bidang dan satu set suntikan sql, anda dapat melatih untuk bendera serangan injeksi.

Salah satu situs saya baru-baru ini diretas melalui SQL Injection. Ia menambahkan link ke sebuah virus untuk setiap text field di db! Perbaikan itu untuk menambahkan beberapa kode mencari SQL kata kunci. Untungnya, saya've dikembangkan di ColdFiusion, jadi kode duduk di Aplikasi saya.cfm file yang dijalankan pada awal setiap halaman web & terlihat di semua URL variabel. Wikipedia memiliki beberapa link yang baik untuk membantu juga.

Menarik bagaimana ini sedang dilaksanakan tahun kemudian oleh google, dan mereka menghapus URL semua bersama-sama dalam rangka untuk mencegah serangan XSS dan kegiatan-kegiatan yang berbahaya lainnya