Widziałem kilka prób ataków SQL injection na jednej z moich stron internetowych. Występuje w postaci ciągu zapytania zawierającego słowo kluczowe "cast" i kilka znaków szesnastkowych, które po "zdekodowaniu" stanowią wtrysk banerów reklamowych do bazy danych.Jak sprawdzić swój adres URL dla ataków iniekcyjnych SQL?
Moje rozwiązanie jest skanowanie pełny adres URL (i params) i sprawdzić obecność „obsadą (0x”, a jeśli to nie przekierować do strony statycznej.
Jak sprawdzić swój adres URL dla SQL ataki wtrysku?
Nie ma wielu powodów, aby nie używać sparametryzowanych zapytań. Za każdym razem, kiedy widzę, że ktoś robi coś innego, chce mnie udusić. – Matt