如何检测 SQL 注入尝试

How to detect SQL injection attempt

提问人:Tristate 提问时间:11/7/2022 最后编辑:Mark RotteveelTristate 更新时间:11/7/2022 访问量:72

问:

我的 Web 应用程序中有一个搜索字段。从 SQL 注入的角度来看,搜索功能是安全的。但是,每次有人尝试SQL注入时,我都想做一些安全日志。

我在后端有一个 Java 输入字符串,如何检测有人何时尝试注入?我尝试了一些正则表达式,但没有成功。

Java SQL注入

评论

1赞 Mark Rotteveel 11/7/2022
重点是什么?如果你的代码使用准备好的语句和参数,因此是安全的,你为什么要花费时间和精力来做这件事呢?此外,您如何区分看起来像 SQL 注入的真实搜索和实际的 SQL 注入?你要么创建没人会看的日志,要么花时间“调查”事情,没有实际的追索权(甚至不需要)来解决它们。无论哪种方式,您都会浪费时间和金钱。
0赞 Matthieu 11/7/2022
您可以尝试查找 SQL 关键字以及 SQL 注释标记和--;
0赞 Bagus Tesa 11/7/2022
您应该使用 Web 应用程序防火墙 (WAF),而不是直接将一些未经测试的晦涩代码烘焙到应用程序逻辑中。我的意思是,SQL注入甚至不需要使用您的搜索功能完成。

答: 暂无答案

上一个:SonarQube 误报 SQL 注入

下一个:如何处理checkmarx扫描的SQL_Injection和Second_Order_SQL_Injection漏洞?