.NET-Bibliotheken zu desinfizieren-Eingang?
Gibt es gründlich getestet .NET-Bibliotheken aus es zu desinfizieren die Eingabe von Dingen wie Skript/sql-injection?
sollte dies 2 unterschiedliche Fragen
es ist nur zwei verschiedene Fragen, wenn Sie bereits wissen, dass es nicht eine Bibliothek, die macht beides.
bereinigen von Eingaben gegen sql-injection-Angriffe (in der Regel geschieht auf der Datenbank-Ebene, die durch die Nutzung von parametrierten Befehle) ist eine ganz andere Ballspiel als Desinfektions-Eingang gegen xss-Angriffe (in der Regel erfolgt VOR dem speichern der Eingabe in die Datenbank)...
es ist nur zwei verschiedene Fragen, wenn Sie bereits wissen, dass es nicht eine Bibliothek, die macht beides.
bereinigen von Eingaben gegen sql-injection-Angriffe (in der Regel geschieht auf der Datenbank-Ebene, die durch die Nutzung von parametrierten Befehle) ist eine ganz andere Ballspiel als Desinfektions-Eingang gegen xss-Angriffe (in der Regel erfolgt VOR dem speichern der Eingabe in die Datenbank)...
InformationsquelleAutor Dana Holt | 2009-06-02
Du musst angemeldet sein, um einen Kommentar abzugeben.
SQL-injection und Cross-Site-Scripting (ein.k.ein. XSS-oder Script-Injection) sind verschiedene Probleme.
1) SQL-Injection ist sehr einfach, verwenden Sie immer die parametrisierten Abfragen (SQLParameter) und versuchen wirklich hart, um NIE tun sp_exec @Abfrage in T-SQL-gespeicherte Prozeduren. .Net-parametrisierten Abfragen schützt nicht gegen diese zweite Bestellung Injektion.
2) XSS ist schwieriger zu allgemein mindern, da gibt es so viele Orte, die JavaScript eingefügt werden kann, die in HTML-Dokumente. Die Empfehlungen zu verwenden AntiXSS für die Codierung von Benutzer-Daten ist direkt auf. Diese Bibliothek verwenden, vor dem einsetzen von Benutzer-Daten in das Ausgabedokument. Leider, wenn Sie mit ASP.Net server steuert die Codierung aller Daten führen kann, um Doppel-Codierung und Anzeige von Artefakten. Dies geschieht, weil einige Steuerelementeigenschaften Daten zu verschlüsseln, während andere nicht. Finden Sie diese Tabelle, um herauszufinden, die Eigenschaften codiert standardmäßig. Verwenden Sie Anti-XSS-vor der Zuweisung zu beliebigen Eigenschaften, die nicht codieren.
InformationsquelleAutor Chris Clark
Möchte ich Microsoft AntiXSS-Bibliothek. Es ist kostenlos und ziemlich einfach zu bedienen.
Für SQL-Injektion, die ich immer Parameter verwenden. Wieder, Sie sind einfach zu bedienen und ich weiß nicht wie der Versuch, spezielle escape-Zeichen. Es ist ein Rezept für eine Katastrophe, wenn Sie mich Fragen.
InformationsquelleAutor Tim Scarborough
Verwenden parametrierten Befehle, anstatt zu versuchen zu bereinigen, strings, zum Schutz vor SQL-Injection.
InformationsquelleAutor Mitch Wheat
AntiXSS kann verwendet werden, zur Verhinderung von XSS-Angriffen.
InformationsquelleAutor Shoban
Benutzt habe ich MS Anti-XSS library. Es ist sehr nützlich und einfach zu bedienen. Probieren Sie es selbst, die Sie genießen werden. Aktuelle version ist 4.0.
InformationsquelleAutor Virat Kothari
Wenn Sie mit ASP.NET 4.5 können Sie jetzt mit der AntiXSS-features, das Schiff im Rahmen.
Dies sind die Teile der externen AntiXSS-Bibliothek, die aufgenommen wurden ASP.NET 4.5:
HtmlEncode
,HtmlFormUrlEncode
, undHtmlAttributeEncode
XmlAttributeEncode
undXmlEncode
UrlEncode
undUrlPathEncode
(neu)CssEncode
InformationsquelleAutor Schneider