librown
@librown
На-все-руки-мастер и немного кодер

Обнаружил попытки SQL-инъекций. Как обнаружить и защититься?

Привет!
У меня самописный движок.

Формы без капчи. Для из защиты от базового спама использую:
1. Чекбокс "поставьте галочку если не робот"
2. Напишите, чему равно 2+3 = ?
3. Скрытое поле с популярным именем, типа email - и на сервере проверяю его на пустоту
Понимаю, что это не серьезная защита, но напрягать пользователей сложными капчами категорически не хочется.

Практически каждый день получаю 5-20 сабмитов форм заполненных данными типа:
1
1'
-1'

Я так понимаю, что это какой-то автоматический скрипт, который ищет по всему интернету сайты с открытыми формами и пытается найти SQL-уязвимость. У меня вроде как все запросы экранируются и пакости никакой сайту не приносят, но неприятно вычищать постоянно спам. Что посоветуете? Как в 2016 году защищают формы?

P.S. На другом проекте была похожая ситуация, но в один прекрасный момент я обнаружил "левые" ссылки спрятанные внутри моих текстов в БД. Видимо таки уязвимость была найдена. Было неприятно.

Спасибо
  • Вопрос задан
  • 1238 просмотров
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы