Bloquear SQL Inject via POST

Question

Pessoal, 

Já achei muita matéria para bloquear SQL Inject via URL, usando URLScan, URL Rewrite, etc.. porém estou sofrendo ataques no meu site em um WebService, aonde está sendo postado os comandos SQL em um webservice ( http://www.meusite.com.br/wsservices.asmx )

Como este WebService está hospedado em vários lugares, não tenho tempo hábil para arrumar o código fonte e corrigir a falha em todos eles.

Assim gostaria de saber se tem como bloquear assim como o URL Scan faz , as variáveis que são enviadas via POST.

Ou seja, preciso que o filtro funcione em dados postados nas páginas, quer seja via FORM > POST, ou WEBSERVICE > POST

---

Fabio A. Morais

Answer 1

Pessoal, 

Sei que este problema deve ser resolvido no código e não no servidor. Porém não tive tempo hábil para corrigir o fonte em meio a tantos ataques. Uma solução rápida foi instalar este software no servidor:

http://www.port80software.com/

No meu caso, foi simples, pois usamos um servidor dedicado. Assim fica a dica! quem tiver condições de instalar ele no servidor é uma excelente ferramenta.

---

Fabio A. Morais

Answer 2

Uma maneira eficiente de estar evitando ataques de SQL Injection é estar utilizando SQL parametrizado, como segue no texto abaixo:

http://www.codinghorror.com/blog/2005/04/give-me-parameterized-sql-or-give-me-death.html