Ruby on rails Regex可以检测基本SQL注入,但不能作为防止SQL注入的手段
首先,我要说,我是确保SQL注入攻击失败的知己。所有SQL查询值都是通过活动记录准备语句完成的,所有运算符(如果不是硬编码的话)都是通过数字白名单系统完成的。这意味着如果有人想通过“ILIKE”搜索,他们会通过6,如果他们想通过“=”搜索,他们会通过1,以此类推 我还使用和定期检查代码 因此,我想阻止尝试的SQL注入器还有三个原因Ruby on rails Regex可以检测基本SQL注入,但不能作为防止SQL注入的手段,ruby-on-rails,regex,sql-injection,rackattack,Ruby On Rails,Regex,Sql Injection,Rackattack,首先,我要说,我是确保SQL注入攻击失败的知己。所有SQL查询值都是通过活动记录准备语句完成的,所有运算符(如果不是硬编码的话)都是通过数字白名单系统完成的。这意味着如果有人想通过“ILIKE”搜索,他们会通过6,如果他们想通过“=”搜索,他们会通过1,以此类推 我还使用和定期检查代码 因此,我想阻止尝试的SQL注入器还有三个原因 我们有很多脚本小子想攻击我们。其中大多数是 已阻止至少一次,因为我们有文件扩展名 白名单系统,当他们试图 请求一个php文件。有一次他们被列入黑名单 第一次,在第二轮
那么,这样一个正则表达式是否有可能仅作为一种检测手段工作,并具有最小的误报率,或者这是一个不值得付出努力的整体?此链接应该为您提供开始时的模式 文本块
'(''|[^'])*'
SQL语句
\b(ALTER|CREATE|DELETE|DROP|EXEC(UTE){0,1}|INSERT( +INTO){0,1}|MERGE|SELECT|UPDATE|UNION( +ALL){0,1})\b
在某种程度上,我相信这是可能的。不过,首先要做的是把你想找的东西列在一起。一旦你有了这个列表,你就可以创建一个模式来找到它们。你看过了吗?您的问题的一个解决方案可能是使用这些正则表达式创建输入传递的几个级别。如果任何级别匹配,则表示警告。
\b(ALTER|CREATE|DELETE|DROP|EXEC(UTE){0,1}|INSERT( +INTO){0,1}|MERGE|SELECT|UPDATE|UNION( +ALL){0,1})\b