因公司有许多多年前的小系统,当时开发并没有关注网站安全的问题(系统都是内部使用的),现在总部通过appscan扫描出了许多漏洞,其中就一大部分都是关于SQL盲注的,要求修复。
主要就是在拼接SQL语句时,没有使用参数化查询,而是直接采用语句拼接的方式:
string sql = "select * from table where id = '"+ID+"'";
和数据库的连接,执行语句肯定是有通用的类去执行,只是拼接时没采用参数化查询,现在要修复,肯定不可能一个一个页面去修改语句(工作量巨大),能否有别的方式实现(如写各类替换掉敏感字符?是否能实现拦截器拦截之类的)?
还望各位大神有经验分享指教下,谢谢了!