XSS - SQL注入 - OWASP VS AntiXss Vs的微软反跨站点脚本库
问题描述:
-
我们正在使用库来帮助我们检测SQL注入。XSS - SQL注入 - OWASP VS AntiXss Vs的微软反跨站点脚本库
- 我们使用sprocs和参数化语句,但是为了这篇文章,我们只使用了一些检测/验证用户输入的库。
什么是最好的?最容易实现?最容易更新/管理? 为什么喜欢一个在另一个?
在一个侧面说明:
我刚开始使用Owasp。与C#。 我希望在验证时会有更多的默认规则。 使用isValid函数时,只有5个默认规则。
CREDIT_CARD - 信用卡验证规则的规则名称密钥。 DATE - 日期验证规则的规则名称密钥。 DOUBLE - 双验证规则的规则名称密钥。 INTEGER - 整数验证规则的规则名称密钥。 PRINTABLE - 可打印验证规则的规则名称密钥。
我希望能有更多的字符串SQL注入检测的默认规则。
感谢
答
使用存储的特效是在正确方向上的相当大的一步。我要补充的是输入验证,它看起来像你想要用OWASP ESAPI库做的,但在大多数情况下用正则表达式实现它非常简单。您应该为大多数不受信任的数据找到大量公开可用的模式。
您可能想要做的另一件事是在您的数据层应用最小权限原则。考虑使用多个SQL帐户,并将公共用户使用的帐户限制为绝对最低限度的功能。你正在使用存储过程;如果您尚未尝试并避免使用任何数据读取器或数据库。在OWASP Top 10 for .NET developers part 1: Injection
答
更多信息我使用AntiXSS用于验证用户输入 - 具体包括保护aganist SQL注入。我看到了一些攻击,但没有得到通过 - 所以似乎对我很好。
而且 - 特洛伊知道他在说什么 - 他对这个问题的文章是一个非常好的一个:)
为什么这个有足球的标签? – 2009-12-07 04:36:08