我正在创建一个 Asp.Net 程序 UI,用户可以在其中浏览和更改数据库中的信息。因此,他们需要能够使用所有形式的字符,但我仍然需要保证程序 HTML 和 SQL 本身的安全。因此,我使用一种自建方法,在文本框之外处理它们时,用它们的 html 代码替换危险字符,例如“
现在我的困境是:为了能够做到这一点,我必须根据主题禁用 Validaterequest 参数,程序将发出投诉。将其设置为 False 可能会产生什么后果?
SQL查询已经参数化了,我只过滤掉以下标记:
& # < > " ’ % @ =
问题:即使我处理了上面的字符,我是否也会让程序面临威胁?基本上,这是一个内部网应用程序,只有少数人能够访问该程序。然而,它访问的信息相当重要,因此即使是无意的事故也应该避免。我真的不知道 Validaterequest 的作用是什么。
Edit:好的,谢谢您的回答。我将按照最初的计划进行。
主要的事情验证请求 http://www.asp.net/learn/whitepapers/request-validation/正在寻找 字符,以阻止您向恶意用户打开您的网站,将脚本和/或 HTML 发布到您的网站。
如果您对删除 HTML 标记的代码感到满意,或者您不会在未经处理的情况下将保存的数据显示回网站,那么您应该没问题。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)