10
Czy są tam dokładnie przetestowane biblioteki .NET, aby oczyścić dane wejściowe z takich rzeczy jak iniekcja skryptu/sql?. Biblioteki .NET do odkażania danych wejściowych?
A
Odpowiedz
7
Injection SQL i Cross-Site Scripting (a.k.a. XSS lub Script Injection) to różne problemy.
1) SQL Injection jest bardzo łatwy, zawsze używaj sparametryzowanych zapytań (SQLParameter) i bardzo trudno jest NIGDY wykonać sp_exec @query w obrębie procedur składowanych T-SQL. Kwerendy sparametryzowane w usłudze NetNet nie będą chroniły przed iniekcją drugiego rzędu.
2) XSS jest trudniejsze do powszechnego złagodzenia, ponieważ istnieje wiele miejsc, w których JavaScript można wstawiać do dokumentów HTML. Zalecenia dotyczące korzystania z AntiXSS do kodowania danych użytkownika są już dostępne. Użyj tej biblioteki przed wstawieniem danych użytkownika do dokumentów wyjściowych. Niestety, jeśli używasz kontrolek serwera ASP.Net, kodowanie wszystkich danych może prowadzić do podwójnego kodowania i wyświetlania artefaktów. Dzieje się tak, ponieważ niektóre właściwości kontrolne kodują dane, a inne nie. Zapoznaj się z this table, aby dowiedzieć się, jakie właściwości są domyślnie zakodowane. Użyj Anti-XSS przed przypisaniem do dowolnych właściwości, które nie kodują.
5
Należy używać parameterised commands, zamiast próbować odkażać łańcuchy, aby chronić się przed iniekcją SQL.
8
Lubię używać Microsoft AntiXSS library. Jest bezpłatny i dość łatwy w użyciu.
Do iniekcji SQL zawsze używam parametrów. Znowu są łatwe w użyciu i nie lubię próbować uciec od znaków specjalnych. To przepis na katastrofę, jeśli mnie zapytasz.
2
AntiXSS może być używany do zapobiegania atakom XSS.
0
Użyłem biblioteki MS Anti XSS. Jest bardzo przydatny i łatwy w użyciu. Spróbuj sam, będziesz zadowolony. Obecna wersja to 4.0.
0
Jeśli używasz programu ASP.NET 4.5, możesz teraz użyć AntiXSS features that ship in the framework.
Są to części zewnętrznej AntiXSS biblioteki, które zostały wprowadzone do ASP.NET 4,5:
HtmlEncode,HtmlFormUrlEncodeiHtmlAttributeEncodeXmlAttributeEncodeiXmlEncodeUrlEncodeiUrlPathEncode(nowy)CssEncode
Powiązane problemy
- 1. Korzystanie z biblioteki MS Anti XSS do odkażania HTML
- 2. szyny -: łączy do odkażania/podstawienia
- 3. Jquery do wstawiania danych wejściowych lub tekstowych
- 4. MomentJS - przeznaczony do sprawdzania poprawności danych wejściowych?
- 5. Wzorzec do sprawdzania poprawności danych wejściowych?
- 6. select2 nie zapisywanie danych wejściowych do edycji
- 7. skalowanie danych wejściowych do sieci neuronowej
- 8. Biblioteki SVN dla .NET?
- 9. . Biblioteki numeryczne .NET
- 10. Biblioteki SFTP dla .NET
- 11. Jak dodać manifest do biblioteki .NET DLL?
- 12. .NET C# biblioteki do bezstratnego przepisywania Exif?
- 13. znaleźć właściwy korzeń kompozycji do biblioteki .NET
- 14. Szybki sposób porównywania danych wejściowych
- 15. Odwołanie do biblioteki klasy .NET 4.6.2 z aplikacji .NET Core
- 16. Testowanie danych wejściowych w PHPUnit
- 17. Zalecenia dotyczące biblioteki kompresji .NET
- 18. Wyłącz sprawdzanie danych wejściowych dla pojedynczego pola
- 19. Biblioteki Facebooka dla .NET
- 20. .NET DICOM Biblioteki
- 21. Czy są gotowe biblioteki biblioteki memo .NET?
- 22. Monit Node.js pomijanie danych wejściowych
- 23. Wiele danych wejściowych w JOptionPane.showInputDialog
- 24. Niestandardowe dostawcy danych .NET
- 25. Biblioteki drukowania .NET Compact Framework
- 26. Jak zlokalizować dokumentację biblioteki .NET
- 27. NET linki danej biblioteki platformie
- 28. Wieloplatformowe biblioteki audio dla .NET
- 29. Najlepsze biblioteki buforowania dla .NET
- 30. Zmień rozmiar danych wejściowych, aby dopasować je do zawartości
To powinno być 2 różne pytania – fretje
@fretje, to tylko dwa różne pytania, jeśli już wiesz, że nie ma biblioteki, która spełnia obie te funkcje. – DevinB
odkażanie danych wejściowych przed atakami typu sql injection (zwykle wykonywane na poziomie bazy danych za pomocą komend sparametryzowanych) to totalna odmiana ballparkowa niż sanityzacja danych wejściowych przeciwko atakom xss (zwykle wykonywane PRZED zapisaniem danych wejściowych w bazie danych) ... – fretje