10
Có bất kỳ thư viện .NET được kiểm tra kỹ lưỡng nào ở đó để vệ sinh đầu vào từ những thứ như tiêm script/sql không?Các thư viện .NET để khử trùng đầu vào?
A
Trả lời
7
SQL injection và Cross-Site Scripting (a.k.a. XSS hoặc Script Injection) là các vấn đề khác nhau.
1) SQL Injection rất dễ dàng, luôn sử dụng các truy vấn parametrized (SQLParameter) và cố gắng thực sự khó khăn để KHÔNG BAO GIỜ làm sp_exec @query trong các thủ tục lưu sẵn T-SQL. Các truy vấn được tham số .Net sẽ không bảo vệ chống lại lệnh tiêm thứ hai này.
2) XSS khó khăn hơn để giảm thiểu phổ biến vì có quá nhiều vị trí mà JavaScript có thể được chèn vào tài liệu HTML. Các khuyến nghị sử dụng AntiXSS để mã hóa dữ liệu người dùng là đúng. Sử dụng thư viện này trước khi chèn dữ liệu người dùng vào tài liệu đầu ra. Thật không may, nếu bạn đang sử dụng điều khiển máy chủ ASP.Net mã hóa tất cả dữ liệu có thể dẫn đến mã hóa đôi và hiển thị hiện vật. Điều này xảy ra vì một số thuộc tính điều khiển mã hóa dữ liệu trong khi những thuộc tính khác thì không. Tham khảo this table để tìm hiểu các thuộc tính được mã hóa theo mặc định. Sử dụng Anti-XSS trước khi gán cho bất kỳ thuộc tính nào không mã hóa.
5
Sử dụng parameterised commands, thay vì cố gắng vệ sinh chuỗi, để bảo vệ chống lại SQL Injection.
8
Tôi thích sử dụng Microsoft AntiXSS library. Nó hoàn toàn miễn phí và khá dễ sử dụng.
Để chèn SQL, tôi luôn sử dụng tham số. Một lần nữa, họ rất dễ sử dụng và tôi không thích cố gắng để thoát khỏi các nhân vật đặc biệt. Đó là một công thức cho thảm họa nếu bạn hỏi tôi.
2
AntiXSS có thể được sử dụng để ngăn chặn các cuộc tấn công XSS.
0
Tôi đã sử dụng thư viện MS Anti XSS. Nó rất hữu ích và dễ sử dụng. Hãy thử nó cho mình, bạn sẽ tận hưởng. Phiên bản hiện tại là 4.0.
0
Nếu bạn đang sử dụng ASP.NET 4.5, bây giờ bạn có thể sử dụng AntiXSS features that ship in the framework.
Đây là những phần bên ngoài Thư viện AntiXSS đó đã được đưa vào ASP.NET 4.5:
HtmlEncode,HtmlFormUrlEncode, vàHtmlAttributeEncodeXmlAttributeEncodevàXmlEncodeUrlEncodevàUrlPathEncode(mới)CssEncode
Các vấn đề liên quan
- 1. cách codeigniter khử trùng đầu vào?
- 2. solr khử trùng truy vấn
- 3. Cách tốt nhất để khử trùng đầu vào trong Java webapp
- 4. Sử dụng caja để khử trùng Javascript?
- 5. Nhúng Thư viện C++ vào .Net Thư viện
- 6. $ khử trùng Tuỳ chỉnh Whitelist
- 7. Làm cách nào để khử trùng cin?
- 8. Thoát/khử trùng đầu vào của người dùng trong Clojure/Compojure
- 9. Trình biên tập WMD khử trùng
- 10. Liệu hàm createCriteria của Hibernate() có khử trùng đầu vào không?
- 11. Sử dụng máy học để khử trùng dữ liệu
- 12. NET Geometry thư viện
- 13. SqlCommand khử trùng các thông số như thế nào?
- 14. Tôi có cần phải khử trùng đầu vào nếu sử dụng các truy vấn PHP/MySQL chuẩn bị không?
- 15. Thư viện để tạo lưới trong .Net?
- 16. emacs thư viện lisp cho các hình thức đầu vào?
- 17. Tôi làm cách nào để dệt và khử trùng html?
- 18. Có thư viện để khử trùng các tham số truy vấn cho PostgreSQL hoặc SQL nói chung, cho FreePascal và Delphi không?
- 19. Thư viện số .NET
- 20. Thư viện Facebook cho .NET
- 21. Thư viện .NET để đọc các khung hình video
- 22. khử trùng/thoát ra khỏi drupal arg (x) cần thiết?
- 23. Thư viện SFTP cho .NET
- 24. VB6 với Thư viện .NET
- 25. Trình khử trùng HTML đơn giản trong Javascript
- 26. ruby-pg khử trùng dữ liệu trước khi chèn
- 27. Thư viện SASL cho .net
- 28. Sửa thư viện cho .NET
- 29. Thư viện Hình học .NET
- 30. Cách tốt nhất để khử trùng các trường trong ruby trên đường ray
điều này phải là 2 câu hỏi khác nhau – fretje
@fretje, chỉ có hai câu hỏi khác nhau nếu bạn đã biết rằng không có thư viện nào thực hiện cả hai. – DevinB
khử trùng đầu vào đối với các cuộc tấn công phun sql (thường được thực hiện ở cấp cơ sở dữ liệu thông qua sử dụng các lệnh tham số) là một công cụ ballpark hoàn toàn khác so với khử trùng đầu vào chống lại tấn công xss (thường được thực hiện TRƯỚC KHI lưu đầu vào trong cơ sở dữ liệu) ... – fretje