SQL注入,可谓是目前的一大祸害。为了防止SQL注入,程序开发人员需要花大力气在参数的过滤和检查上。这种做法是上层的防注入。
实际上,可以利用底层的防注入方式,来弥补上层的不足。这里,介绍2款免费的工具。
微软的 UrlScan
微软针对自己的IIS平台,推出的安全工具,效果相当不错。它会检查所有IIS处理的HTTP请求。
UrlScan 可以在有安全问题的HTTP请求到达应用程序之前就阻止这个请求。
UrlScan 3.1 是最新版本,支持Windows Vista 和Windows Server 2008系统之上的IIS 5.1, IIS 6.0 和 IIS 7.0。
链接地址:http://www.iis.net/expand/UrlScan 这里还有很多有用的其他IIS扩展。
配置 C:/WINDOWS/system32/inetsrv/urlscan 下的UrlScan.ini
中的节点
[DenyQueryStringSequences];; If any character sequences listed here appear in the query; string for any request, that request will be rejected.;< ; Commonly used by script injection attacks> ; Commonly used by script injection attacks--@ ; also catches @@ALTERCASTCONVERTCREATEDECLAREDELETEDROPEXEC ; also catches executeFETCHINSERTKILLSELECT
IIS 6 SQL Injection Sanitation ISAPI Wildcard
这是一个IIS的SAPI dll,也是通过检查HTTP请求避免SQL注入,但是,从名字上,大家就可以看明白,这是针对 II6 的,只能用于 windows 2003 的 IIS6平台。
地址: http://www.codeplex.com/IIS6SQLInjection
参考资料
http://www.cnblogs.com/wcj12168/archive/2010/05/19/1739300.html
http://blog.inetu.net/2009/12/combating-sql-injection-attacks/
