标签:
NET代码安全 界面漏洞防范与程序优化
一、 SQL 注入攻击的源头
1. 过滤或转移危险字符
2. 使用SqlParameter类:.NET 框架有一个叫做SqlParameter 的集合类型,可以提供类型和长度检查, 并且自动转义用户输入。
3. 用正则表达式限制输入, 例如可以从System.Text.RegularExpressions命名空间中用类Regex来限制输入。
4. 使用最小特权
5.拒绝一的攻击签名:
根据应用程序的行为,可以拒绝访问可能有危险的数据。过滤危险的SQL命令的关键字, 如drop,delete,insert 或者update 等。
6.加密处理
在System.webSecurity.Forms Authenatication 类 有一个HashPasswordForStoringConfigFile, 适合对输入数据进行处理。
7. 在服务器上处理错误
如果在Try 和 Catch 语句中隐藏数据库行为,并在服务器端正确处理错误, 则可以避免攻击者收集信息。在Catch语句中记录发生的错误的详细信息将有助于得知受到的攻击, 以及攻击的企图。
标签:
原文地址:http://www.cnblogs.com/worklog/p/5552396.html
