我购买了一个不使用特殊字符的网络应用程序。在查看我的日志时,我看到威胁参与者通过添加撇号和其他通常从不使用的 char() 字符来尝试查看我的站点是否容易受到 SQL 注入的影响。我相信我的应用程序的安全性(大部分),但想看看重写规则或其他方法是否会阻止他们的请求。我的网络应用程序给出了标准错误。我正在寻找规则或想法 1.) 在没有 2.) 给服务器增加大量开销的情况下,尽可能少地向攻击者提供信息。那里有很多重写规则示例,但我发现没有一个可以处理这个角度。
探测的简单示例:https://sub.domain.com/default.aspx?page=3500'A=0&Id=497066
像这样的东西?它将清除一些更讨厌的 SQL 字符。
如果任何字符
'();出现在查询字符串中,这将中止请求。没有 SQL 注入规则