ASP.NET网站避免SQL注入筹划[网站编程]
本文“ASP.NET网站避免SQL注入筹划[网站编程]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
你应当在程序中考证全部的不信任输入.你应当假定全部的用户输入都是不法的.用户可以在利用程序中供应表单字段,查询字串,客户端cookies和浏览器环境值比方用户代理字串和IP地址等.
弱输入校验普通为注入攻击供应了机会.下面是常见的操纵弱输入校验或无输入校验举行攻击的手段.
SQL 注入(SQL injection). 假如你利用用户的输入值来动态构造SQL语句,那么数据库大概履行攻击性的有害SQL语句.
跨站脚本(Cross-site scripting). 跨站脚本攻击操纵网页考证漏洞注入客户端脚本.接下来这些代码被发送到受信任的客户端电脑上并被浏览器注释履行.因为这些代码来自受信任的站点,所以浏览器无法得知这些代码是有害的.
未受权的文件拜候(Unauthorized file access).假如你的代码从调用者那边承受输入,恶意用户可以看到你对文件的操作历程从而拜候那些受保护的文件大概利用你的代码注入不法数据.
注意 : 注入攻击可通过利用HTTP或HTTPS Secure Socket Layer(SSL) 衔接. 传输加密技术不能用来防备攻击.
普通的输入考证办法总结以下.你应在全部的需求通过网络输入的地方举行考证,比方文本框和别的表单输入字段, 查询字串参数,cookies,服务器端变量和网络办法参数.注意,过滤战略应当是只答应精确的输入然后回毫不法输入.这是因为定义精确的输入战略比过滤全部的不法输入要简单,那普通很难包含全部的不法输入.
通入以下几个方面考证输入内容:
约束.考证能否输入的是精确的范例,字符长度,格局和范围.可以利用ASP.NET考证控件来约束服务器控件输入.约束别的根源的输入可以利用正则表达式和自定义的考证法则.
回绝.检测已知的有害数据输入并回绝.
过滤.有时刻你会但愿过滤掉用户输入中那些有安全隐患的那些部份.比方,你的程序答应安闲格局的输入,比方备注字段,你会答应特定的安全HTML标志象<b>,<i>及别的的HTML标志.
步骤概要
通过以下步骤保护你的ASP.NET程序不受注入式攻击危害 :
第一步.利用ASP.NET恳求考证.
第二步.约束输入.
第三步.对不安全的输出举行编码.
第四步.对SQL查询语句利用号令参数.
第五步.考证ASP.NET的出错信息没有泄露至客户端.
以上是“ASP.NET网站避免SQL注入筹划[网站编程]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |