如何检查并阻止在数据输入或更新时有恶意script Injection 植入.<red>顶者有分!</red> 如何检查并阻止在数据输入或更新时有恶意script Injection 植入.顶者有分!例如,在数据Inserting,Updating或Deleting之前,如何判断,我对一般的script Injection了解,但复杂些的如何解决呢? 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 如何检查并阻止在数据输入或更新时有恶意script Injection 植入.顶者有分! 例如,在数据Inserting,Updating或Deleting之前,如何判断,我对一般的script Injection了解,但复杂些的如何解决呢?有回应立刻加分. 注意参数检测就是了.有两个原则,1. 不信任客户提交的任何东西2. 不信任客户端代码对参数的验证. 客户端代码对参数的验证一定程度上减少了向服务器请求和处理的时间,减轻了服务器压力,减少了不必要的回传,但这仅限于一般用户.真正的参数检测,服务器端必不可少..net里因为很多变量类型不能隐式转义, 比如一个int型数据,当客户端提交一个string类型值时,程序会报错,就不存在注入问题.而string类型参数, 要么对传入的string类型数据值中的'进行转义''或执行SQL语句时,不要用拼语句的方式,而以存储过程,或以带参数的语句方式执行, 这样就不必考滤注入问题了. [小白求助]问一个Linq的问题 jQuery读取xml动态生成二级树? 如何建立三层结构的.NET网站?具体的建立过程是什么? asp.net怎么用email发网页 谁做过类似树形论坛的列表? 求一个asp.net学习的网站,散100分 这个问题没有人回答么? 动态创建表格的问题 无论我输入什么数字都是一样的结果 求一个形如MM/DD/YYYY的日期判断正则表达式 TreeView节点问题。。郁闷中。。。 用FileUpload 上传文件超过1M就抱错,小文件不成问题,不知道怎么搞得,请指点! flash幻灯片特效中的图片如何连接SQL2000数据库,读取数据库中的字段。
例如,在数据Inserting,Updating或Deleting之前,如何判断,我对一般的script Injection了解,但复杂些的如何解决呢?
有回应立刻加分.
有两个原则,
1. 不信任客户提交的任何东西
2. 不信任客户端代码对参数的验证. 客户端代码对参数的验证一定程度上减少了向服务器请求和处理的时间,减轻了服务器压力,减少了不必要的回传,但这仅限于一般用户.真正的参数检测,服务器端必不可少.
.net里因为很多变量类型不能隐式转义, 比如一个int型数据,当客户端提交一个string类型值时,程序会报错,就不存在注入问题.
而string类型参数, 要么对传入的string类型数据值中的'进行转义''
或
执行SQL语句时,不要用拼语句的方式,而以存储过程,或以带参数的语句方式执行, 这样就不必考滤注入问题了.