通过本文主要向大家介绍了asp.net,asp net培训,asp和asp.net的区别,零基础学asp.net,c#和asp.net的区别等相关知识,希望对您有所帮助,也希望大家支持linkedu.com www.linkedu.com
在Asp.net开如中,引发安全问题最多的大多来自于以下三个方面:
1.上传
2.跨站
3.注入
上传的安全问题不在本文讨论范围内,这里只讨论跨站与注入的问题,而这两者都是基本可以通过过滤来处理的!把注入放在最后面是因为,SQL注入玩了这么多年,大家应当有了一定的防范,只要稍有点注意,能在asp.net上面玩下的注入还是相当少的!注意这以下几点。
1.所有的参数。如果是int类型的,请转换成int再处理! 别拿装箱与拆箱来说事!估计现在大家也不会把sql语句直接在web里面拼接了,起码也要用上几个类,中间的一些简单的逻辑处理!类型转换还是要涉及到的
2.尽量使用参数化查询!
3.起码要注意过滤单引号(其实如果使用参数化查询,不过滤也没事,不过我还是习惯性过滤)!
4.不要直接把错误赤裸裸的暴露给用户!这点不仅仅是为了防范注入,同时也是一个用户体验问题!通过重写OnError事件,再继承,能很好的处理!
而相对于跨站,防洗耳范起来就麻烦多了,过滤一直是个很纠结的东西,过滤太严了,影响正常使用,没过滤好,又引发安全问题!我把我刚写的过滤类拿出来,也许其中还有没有考虑到的地方,希望大家指点,
另外,这里是考虑了支持HTML的情况,所以没有直接过虑尖括号! </div>
1.上传
2.跨站
3.注入
上传的安全问题不在本文讨论范围内,这里只讨论跨站与注入的问题,而这两者都是基本可以通过过滤来处理的!把注入放在最后面是因为,SQL注入玩了这么多年,大家应当有了一定的防范,只要稍有点注意,能在asp.net上面玩下的注入还是相当少的!注意这以下几点。
1.所有的参数。如果是int类型的,请转换成int再处理! 别拿装箱与拆箱来说事!估计现在大家也不会把sql语句直接在web里面拼接了,起码也要用上几个类,中间的一些简单的逻辑处理!类型转换还是要涉及到的
2.尽量使用参数化查询!
3.起码要注意过滤单引号(其实如果使用参数化查询,不过滤也没事,不过我还是习惯性过滤)!
4.不要直接把错误赤裸裸的暴露给用户!这点不仅仅是为了防范注入,同时也是一个用户体验问题!通过重写OnError事件,再继承,能很好的处理!
而相对于跨站,防洗耳范起来就麻烦多了,过滤一直是个很纠结的东西,过滤太严了,影响正常使用,没过滤好,又引发安全问题!我把我刚写的过滤类拿出来,也许其中还有没有考虑到的地方,希望大家指点,
另外,这里是考虑了支持HTML的情况,所以没有直接过虑尖括号! </div>