Comprei um aplicativo da web que não usa caracteres especiais. Ao revisar meus logs, estou vendo a sondagem de agentes de ameaças que tentam ver se meu site é vulnerável à injeção de SQL adicionando apóstrofos e outros caracteres char() que normalmente nunca são usados. Eu confio na segurança do meu aplicativo (principalmente), mas queria ver se uma regra de reescrita ou alguma outra metodologia iria bloquear sua solicitação. Meu aplicativo da web fornece seu erro padrão. Estou procurando regras ou idéias para 1.) fornecer ao invasor o mínimo de informações possível sem 2.) adicionar muita sobrecarga ao servidor. Existem muitos exemplos de regras de reescrita por aí, mas nenhum que eu encontrei que lida com esse ângulo.
Exemplo simples da sondagem:https://sub.domain.com/default.aspx?page=3500'A=0&Id=497066
Algo assim? Ele eliminará alguns dos caracteres SQL mais desagradáveis.
Isso abortará a solicitação se algum dos caracteres
'();aparecer na string de consulta.Nenhuma regra de injeção de SQL