में java.sql.Statement के उपयोग को रोकने के लिए एक तरीका तलाश रहे हैं हमारी टीम ओडब्ल्यूएएसपी दिशानिर्देशों के साथ बेहतर अनुपालन करने की तलाश में है, और कार्यों में से एक एसक्यूएल इंजेक्शन हमलों की रोकथाम है। इसे सुविधाजनक बनाने के लिए, मैं अपने कोडबेस में java.sql.Statement
के उपयोग को स्वचालित रूप से जांचने का एक तरीका ढूंढ रहा था, इसलिए इसे ध्वजांकित किया जा सकता है और PreparedStatement
का उपयोग करने के लिए बदला जा सकता है।परियोजना
हमारी बिल्ड प्रक्रिया मेवेन पर आधारित है और हमारे पास परियोजना पर विश्लेषण चलाने के लिए सोनार सेटअप भी है। अगर कुछ सीमाएं पूरी हो जाती हैं तो हमारे निर्माण में विफल होने के लिए सोनार में कुछ नियम पहले से ही मौजूद हैं, इसलिए इसे वहां लागू किया जा सकता है। मैंने देखा है कि मैं आयात की तलाश में एक चेकस्टाइल रेगेक्स नियम स्थापित कर सकता हूं, लेकिन मैं देखना चाहता था कि अन्य विकल्प भी हैं या नहीं।
विकास/निर्माण पथ के साथ कोई भी स्थान काम करेगा। अगर इंटेलिज में कुछ ऐसा था जो इसे ध्वजांकित करेगा, मेवेन निर्माण प्रक्रिया में कुछ, या सोनार में इसे ध्वजांकित करने का एक अलग तरीका, इनमें से कोई भी ठीक होगा।
धन्यवाद !!
ध्यान दें कि एक ही इंजेक्शन हमले तैयार कथन के साथ भी किए जा सकते हैं: 'connection.prepareStatement (" t1 से t1। * T1.code = '"+ code +"' "); '। डेवलपर्स को शिक्षित करना सबसे अच्छी बात है। –
हम एक ओडब्ल्यूएएसपी लेखा परीक्षा के माध्यम से जा रहे हैं, और वे अधिक ठोस वस्तुओं की तलाश करेंगे। मैं इसके बारे में आपके बयान से सहमत हूं, लेकिन हम जांच के कुछ प्रकार की स्वचालित परत भी चाहते हैं। – jaycyn94