우리 팀은 OWASP 가이드 라인을보다 잘 준수하기를 원하며 그 중 하나는 SQL 주입 공격 방지입니다. 이를 용이하게하기 위해 코드베이스에서 java.sql.Statement
의 사용법을 자동으로 확인하는 방법을 찾고 있었기 때문에 플래그를 지정하고 PreparedStatement
을 사용하도록 변경했습니다.프로젝트에서 java.sql.Statement의 사용을 방지하는 방법을 찾고 있습니다
빌드 프로세스는 Maven을 기반으로하며 프로젝트에 분석을 실행하기위한 Sonar 설정도 있습니다. 특정 임계 값이 충족되면 빌드를 실패하는 일부 규칙이 이미 Sonar에 있습니다. 따라서이 규칙을 구현할 수 있습니다. 가져 오기를 위해 checkstyle regex 규칙을 설정할 수있는 곳을 보았습니다. 그러나 다른 옵션도 있는지 알고 싶었습니다.
개발/빌드 경로상의 모든 위치에서 작동합니다. intelij에 플래그를 지정하는 항목이 있다면, 메이븐 빌드 프로세스의 일부 또는이 옵션을 사용하여 수중 음파 탐지기에서 플래그를 지정할 수 있습니다.
감사합니다.
Prepared Statement와 동일한 주입 공격이 가능하다는 점에 유의하십시오.'connection.prepareStatement ("t1. * from t1. t1.code = '"+ code + "'"))'. 가장 좋은 점은 개발자를 교육하는 것입니다. –
우리는 OWASP 감사를 통해 더 구체적인 항목을 찾을 것입니다. 이 것에 대한 귀하의 성명에 동의하지만, 우리는 검사의 자동화 된 유형의 일부 유형을 원합니다. – jaycyn94