【发布时间】:2013-09-23 19:18:33
【问题描述】:
在遇到允许您配置和防止 XSS 攻击的 antisamy 项目之前,我试图编写自己的过滤器。但我只是想知道是否可以使用相同的方法来防止 sql 注入攻击?
任何已经实施了antisamy来防止sql注入攻击的人可以请告诉我我们该如何前进。
【问题讨论】:
标签: java sql-injection antisamy
【发布时间】:2013-09-23 19:18:33
【问题描述】:
不,Antisamy 不能保护您免受 SQL 注入。
为了防止 SQL 注入攻击,第一步是使用准备好的语句。 OWASP 对此有一个good guide。
【讨论】:
-
我们使用可调用语句来调用过程,但真正的问题是我们在过程中构建 sql 查询来执行某些业务逻辑,这个过程又大又复杂,重构 sql 查询很困难并且需要很长时间来测试整个功能,因此正在寻找更好的选择
我使用了一个自定义过滤器来删除所有可用于进行 SQL 注入攻击的可疑字符。我们正在使用可调用语句,但真正的问题是过程代码是我们正在构建 SQL 查询以执行某些业务逻辑,并且该过程数量庞大且复杂,重写它将是开发人员和功能用户端的额外工作,因此考虑到我们目前的情况,我们认为过滤和删除所有可能导致注入攻击的字符将是一个最佳的短期解决方案。
【讨论】:
Antisamy 被用于 XSS 问题
Antisamy 仅在 JAVA 和 DOT NET 中实现,或者如果可用于 python,请给我详细信息
【讨论】: