推荐2个免费的防SQL注入(Sql Injection)的工具 — UrlScan 和 IIS 6 SQL Injection Sanitation ISAPI Wildcard
本文转至:真有意思网(http://www.zu14.cn)
文章链接:http://www.zu14.cn/2009/12/31/iis-defend-sql-injection-tools/trackback/
SQL注入,可谓是目前的一大祸害。为了防止SQL注入,程序开发人员需要花大力气在参数的过滤和检查上。这种做法是上层的防注入。
实际上,可以利用底层的防注入方式,来弥补上层的不足。这里,介绍2款免费的工具。
微软的 UrlScan
微软针对自己的IIS平台,推出的安全工具,效果相当不错。它会检查所有IIS处理的HTTP请求。
UrlScan 可以在有安全问题的HTTP请求到达应用程序之前就阻止这个请求。
UrlScan 3.1 是最新版本,支持Windows Vista 和Windows Server 2008系统之上的IIS 5.1, IIS 6.0 和 IIS 7.0。
链接地址:http://www.iis.net/expand/UrlScan 这里还有很多有用的其他IIS扩展。
IIS 6 SQL Injection Sanitation ISAPI Wildcard
这是一个IIS的SAPI dll,也是通过检查HTTP请求避免SQL注入,但是,从名字上,大家就可以看明白,这是针对 II6 的,只能用于 windows 2003 的 IIS6平台。