ASP.NET/C#相当于Microsoft SQL注入源代码分析器(MSSCASI#U ASP)?
是经典ASP VBScript代码的静态代码分析器,可帮助识别可能存在sql注入漏洞的页面ASP.NET/C#相当于Microsoft SQL注入源代码分析器(MSSCASI#U ASP)?,c#,asp.net,sql-injection,static-analysis,C#,Asp.net,Sql Injection,Static Analysis,是经典ASP VBScript代码的静态代码分析器,可帮助识别可能存在sql注入漏洞的页面 该工具似乎只支持vbscript(“该工具只理解用vbscript编写的ASP代码”),我认为它只支持经典ASP,即使是vbscript。我想知道是否有一个类似的工具能够处理ASP.NET代码,特别是C#ASP.NET代码。我认为没有.NET版本的工具。如果您使用的是参数(大多数情况下都应该使用参数),则不会受到大多数SQL注入攻击的攻击。您可以查看Microsoft针对.Net的代码分析工具(CAT.N
该工具似乎只支持vbscript(“该工具只理解用vbscript编写的ASP代码”),我认为它只支持经典ASP,即使是vbscript。我想知道是否有一个类似的工具能够处理ASP.NET代码,特别是C#ASP.NET代码。我认为没有.NET版本的工具。如果您使用的是参数(大多数情况下都应该使用参数),则不会受到大多数SQL注入攻击的攻击。您可以查看Microsoft针对.Net的代码分析工具(CAT.Net) 你可以在这里找到下载
微软安全工具博客上也讨论了使用sql参数绝对是我们的编码准则之一。不过,我不能确定我们是否在所有情况下都使用过它们。我希望自动扫描能增强我的信心,让我相信我们在所有情况下都使用过它们,和/或帮助找到(希望)少数我们没有使用过的地方。如果我有足够的时间,我可能会对所有涉及数据库的代码进行手动安全审计。但实际上,我似乎不太可能抽出时间来做这件事。