Обнаружил попытки SQL-инъекций. Как обнаружить и защититься?
Привет!
У меня самописный движок.
Формы без капчи. Для из защиты от базового спама использую:
1. Чекбокс "поставьте галочку если не робот"
2. Напишите, чему равно 2+3 = ?
3. Скрытое поле с популярным именем, типа email - и на сервере проверяю его на пустоту
Понимаю, что это не серьезная защита, но напрягать пользователей сложными капчами категорически не хочется.
Практически каждый день получаю 5-20 сабмитов форм заполненных данными типа:
1
1'
-1'
Я так понимаю, что это какой-то автоматический скрипт, который ищет по всему интернету сайты с открытыми формами и пытается найти SQL-уязвимость. У меня вроде как все запросы экранируются и пакости никакой сайту не приносят, но неприятно вычищать постоянно спам. Что посоветуете? Как в 2016 году защищают формы?
P.S. На другом проекте была похожая ситуация, но в один прекрасный момент я обнаружил "левые" ссылки спрятанные внутри моих текстов в БД. Видимо таки уязвимость была найдена. Было неприятно.
Средний
