ArcGIS Server viene de fábrica con dos funciones que puede explorar:
- Los servicios de características tienen
ValidateSQL disponible que puede comprobar su consulta/consigna SQL.
validateSQL también evita la inyección SQL. Además, todos los nombres de tablas y nombres de campo utilizados en la expresión SQL o en la cláusula WHERE son validados para asegurar que son tablas y campos válidos.
- Consultas estandarizadas disponible en ArcGIS Server.
ArcGIS Server incluye una opción de seguridad que obliga a los desarrolladores a utilizar consultas SQL estandarizadas cuando trabajan con servicios de mapas, características, imágenes y WFS a través de REST o SOAP. Esto facilita a los desarrolladores y aplicaciones consultar los servicios de ArcGIS Server y ayuda a evitar SQL injection attacks . Las consultas estandarizadas se aplican por defecto, pero pueden ser desactivadas por el administrador del servidor.
El las consultas estandarizadas están activadas por defecto y se aplican a todos los servicios de mapas características, imágenes y servicios WFS en el sitio de ArcGIS Server.
Me temo que las consultas parametrizadas no son algo que esté disponible fuera de la caja y es probable que tenga que utilizar a terceros para integrar esto. Puede consultar la página web ArcGIS Server SOI para saber más sobre cómo interceptar las peticiones entrantes a sus servicios GIS. SOI puede utilizarse, por ejemplo, para:
Auditoría y registro de todas las solicitudes: para fines de depuración, puede crear una serie de SOIs que registren información detallada sobre las entrantes, como la información completa sobre los parámetros de entrada y las credenciales de usuario que se pasan con la solicitud.
Esto podría ayudarle a construir su capa extra de seguridad si es necesario.
