Я думаю, это зависит от того, на каком уровне вы хотите проверить / предотвратить SQL-инъекцию.
На верхнем уровне вы можете использовать URLScan или некоторые моды / фильтры Apache (кто-нибудь поможет мне здесь), чтобы проверять входящие URL-адреса на сам веб-сервер и немедленно отбрасывать / игнорировать запросы, соответствующие определенному шаблону.
На уровне пользовательского интерфейса вы можете поместить несколько валидаторов в поля ввода, которые вы даете пользователю, и установить максимальную длину для этих полей. При необходимости вы также можете внести в белый список определенные значения / шаблоны.
На уровне кода вы можете использовать параметризованные запросы, как упоминалось выше, чтобы убедиться, что строковые входы поступают как чисто строковые входы и не пытаются выполнять команды T-SQL / PL-SQL.
Вы можете делать это на нескольких уровнях, и большая часть моих работ связана со вторыми двумя проблемами, и я работаю с администраторами наших серверов, чтобы подготовить материал верхнего уровня.
Это больше похоже на то, что вы хотите знать?
person
Dillie-O
schedule
03.09.2008