Van*_*ril 4 security sql-injection
我同意正确的输入验证是防止SQL注入的唯一"万无一失"的方法,但它需要修改现有应用程序中的大量代码,可能需要重新构造设计糟糕的应用程序.
在防止SQL注入的自动化机制方面有很多学术兴趣(不会在这里列出它们,我已经完成了一项文献调查,至少看过20次),但我还没有看到任何实际已经实现的内容.
有没有人知道在学术环境之外实际使用的任何框架,基于签名,基于异常还是其他?
编辑:我正在寻找一些不会修改代码库的东西.
我工作的公司使用Barracuda Web应用程序防火墙来处理您所说的内容.从我所看到的它运作得相当好.基本上,如果它检测到可疑输入,它会将用户重定向到我们选择的页面.这允许您在Internet和应用程序之间放置一个图层,并且不需要您更改任何代码.
也就是说,不保护您的应用程序是一个坏主意.