我得到的字段是自由形式的文本,并且只允许任何数字/符号的组合。验证这些以防止SQL注入的最佳方法是什么?我可以运行一个简单的替代刻度标记吗?有没有可以插入的方法?用于ASP.NET的SQL注入过滤方法
1
A
回答
8
只需使用参数化查询!点击这里,查看这篇文章:http://www.functionx.com/aspnet/sqlserver/parameterized.htm
1
有这里概述的各种方法: How To: Protect From SQL Injection in ASP.NET
报价:
对策包括使用的可接受的字符列表来限制输入,使用数据访问参数化的SQL ,并使用数据库中具有受限权限的最小特权帐户。因为SQL参数是类型安全的,所以推荐使用带参数化SQL的存储过程。类型安全的SQL参数也可以用于动态SQL。在不能使用参数化SQL的情况下,请考虑使用字符转义技术。
验证控件可以帮助,虽然他们运行在服务器端,而不是客户端。 ASP.NET也有一些内置的保护,但我不会单靠它。
相关问题
- 1. PDO不过滤SQL注入
- 2. SQL用于过滤
- 3. SQL数据过滤方法
- 4. Zend Framework过滤器,防止sql注入
- 5. 过滤Django注释的现代方法?
- 6. SQL Management Studio中用于过滤的键盘方法是什么?
- 7. ZEND_DB_TABLE_ABSTRACT方法SQL注入
- 8. Apigility输入过滤注入
- 9. 过滤的惯用方法
- 10. 将过滤器注入Zend_View
- 11. SQL注入法
- 12. SQL过滤,哪种方法最好?
- 13. 获取ASP.NET vNext中的注入对象过滤器
- 14. 防止SQL注入在asp.net
- 15. 参数和SQL注入asp.net
- 16. 用于SQL注入的基于HTTP或SQL Server的解决方案
- 17. codeigniter中的XSS过滤不会阻止SQL注入吗?
- 18. 通过sql注销asp.net用户?
- 19. 使用SQL应用过滤器加入
- 20. ASP.NET MVC 3和全局过滤器注入
- 21. ASP.NET Core 2 - 全局过滤器注册多种方式?
- 22. 用于登录表单的简单sql注入解决方案?
- 23. 使用Mono.Cecil注入方法?
- 24. 用于过滤
- 25. 使用ASP.NET Caching API通过C#中的方法注释
- 26. 使用T-SQL过滤分层数据的最佳方法?
- 27. 弹簧集成dsl过滤器改为过滤器方法注释
- 28. SQL注入,如果被过滤括号和分号
- 29. 你的SQL语法有错误;关于MySQL SQL注入
- 30. Sql注入登录绕过
参数化查询是一道防线,但您仍然可以使用它们并使自己易受攻击。 看看这篇文章:http://www.owasp.org/index.php/Guide_to_SQL_Injection 并为OWASP网站添加书签来解决所有的安全问题。这是一个非常好的学习场所。 – David 2009-11-30 21:44:59
@David:据我所知,参数化查询或存储过程唯一的潜在问题是如果你使用动态SQL。 “所以,不要这样!”。 – 2010-03-04 18:55:49
@约翰桑德斯 - 绝对!我只是想向OWASP站点提及一个有安全问题的人。就目前而言,这是我在该主题上找到的最全面的资源。 – David 2010-03-04 21:48:13