10
¿Existen bibliotecas .NET probadas para desinfectar las entradas de cosas como script/sql injection?.NET bibliotecas para desinfectar la entrada?
A
Respuesta
7
La inyección SQL y Cross-Site Scripting (por ejemplo, XSS o Script Injection) son problemas diferentes.
1) SQL Injection es muy fácil, siempre use consultas parametrizadas (SQLParameter) y trate realmente de NUNCA hacer sp_exec @query dentro de los procedimientos almacenados de T-SQL. Las consultas parametrizadas .Net no protegerán contra esta inyección de segundo orden.
2) XSS es más difícil de mitigar universalmente ya que hay tantos lugares en los que se puede insertar JavaScript en los documentos HTML. Las recomendaciones para usar AntiXSS para codificar datos de usuario están correctas. Utilice esta biblioteca antes de insertar datos de usuario en documentos de salida. Desafortunadamente, si está utilizando controles de servidor ASP.Net, la codificación de todos los datos puede dar lugar a una doble codificación y mostrar artefactos. Esto sucede porque algunas propiedades de control codifican datos mientras que otras no. Consulte this table para conocer las propiedades codificadas de manera predeterminada. Use Anti-XSS antes de asignar cualquier propiedad que no codifique.
5
Use parameterised commands, en lugar de tratar de desinfectar cadenas, para protegerse contra la inyección de SQL.
8
Me gusta usar el Microsoft AntiXSS library. Es gratis y bastante fácil de usar.
Para inyección SQL, siempre uso parámetros. De nuevo, son fáciles de usar y no me gusta tratar de escapar de los personajes especiales. Es una receta para el desastre si me preguntas.
2
AntiXSS se puede utilizar para prevenir ataques XSS.
0
He utilizado la biblioteca MS Anti XSS. Es muy útil y fácil de usar. Pruébelo usted mismo, lo disfrutará. La versión actual es 4.0.
0
Si está utilizando ASP.NET 4.5 ahora puede usar el AntiXSS features that ship in the framework.
Estas son las partes de la Biblioteca AntiXSS externo que se han incorporado en ASP.NET 4.5:
HtmlEncode,HtmlFormUrlEncode, yHtmlAttributeEncodeXmlAttributeEncodeyXmlEncodeUrlEncodeyUrlPathEncode(nuevo)CssEncode
Cuestiones relacionadas
- 1. Dónde desinfectar PHP $ _POST [] entrada?
- 2. Bibliotecas SFTP para .NET
- 3. Cómo desinfectar la entrada de la base de datos ODBC?
- 4. Bibliotecas XPath 2.0 para .Net
- 5. ¿Usar la caja para desinfectar Javascript?
- 6. ¿Cómo desinfectar la entrada del usuario para una codificación adecuada del contenido antes de guardarlo?
- 7. ¿cómo funciona codeigniter para desinfectar las entradas?
- 8. La mejor manera de desinfectar la entrada en la aplicación web Java
- 9. Desinfectar la ruta del archivo en PHP
- 10. ¿Cómo debo desinfectar la entrada de la base de datos en Java?
- 11. Conjuntos vs bibliotecas de clases (.NET)
- 12. Uso de la biblioteca MS Anti XSS para desinfectar HTML
- 13. ¿Cómo desinfectar la entrada del usuario en PHP antes de enviarlo por correo?
- 14. ¿Debo desinfectar la entrada si uso consultas preparadas de PHP/MySQL?
- 15. Bibliotecas de representación de fuentes para C#/dot-NET?
- 16. ¿Hay un análogo .net para las bibliotecas de Boost?
- 17. bibliotecas cache de procesos de seguridad para .NET
- 18. ¿Por qué llamar a mb_convert_encoding para desinfectar el texto?
- 19. bibliotecas C# para la internacionalización?
- 20. Incrustar bibliotecas C++ en .Net Libraries
- 21. El equivalente .NET de bibliotecas estáticas?
- 22. Árboles de expresiones en .NET - ¿Bibliotecas?
- 23. hilo fino de piscina Bibliotecas en .NET
- 24. CORBA de .NET - (dis) bibliotecas recomendadas?
- 25. usando ILMerge con .NET 4 bibliotecas
- 26. Escintila .NET - No se puede encontrar bibliotecas
- 27. ¿Cómo mover bibliotecas .NET a un subdirectorio?
- 28. ¿Cómo debo tejer y desinfectar html?
- 29. uso de intval & real_escape_string al desinfectar enteros
- 30. ¿Cuál es un buen método para desinfectar toda la matriz de $ _POST en php?
esto debería ser 2 preguntas diferentes – fretje
@fretje, son solo dos preguntas diferentes si ya sabes que no hay una biblioteca que haga ambas cosas. – DevinB
desinfección de entrada contra ataques de inyección sql (usualmente hecho a nivel de base de datos mediante el uso de comandos parametrizados) es un estadio diferente que desinfección de ataques xss (generalmente hecho ANTES de guardar la entrada en la base de datos) ... – fretje