0
urlを読み込んでいる間にSQLインジェクションやXSSを避ける方法があるかどうかを知りたい。 例: https://abc?ID=いくつかのユニークなguidウェブURLのコードインジェクションを避ける方法
有効なGUIDではなくSQLインジェクションなどを避ける方法。
A
答えて
4
できることがいくつかあります。
- parameterized queriesまたは良いORMを使用して開始します。
- C# AntiXSS libraryをご覧ください。
- Sanitize入力してください。さらに読みpreventing SQL Injection
上に読む
SQL注入は、あなたが求めている部分よりも大きいです。あなたは、データベースに出入りするすべてのデータを認識したいと思っています。上記の提案を実装し、あなたはかなりカバーされるべきです。
元の質問(?id=[guid])の件名については、クエリを送信するときにSystem.Guidデータタイプを使用していることを確認する必要があります。 stringがNOTの有効なGUIDである場合、問題があることを知っています。要求を完了しないでください(IE:後でリポジトリに要求を送信しないでください)。確かには送信しません。データベースまで)。
0
IDのように聞こえます。それが簡単だった場合は、内容を数値にキャストしてから、この型付き変数を使用してください。コンテンツに何か他のものがある場合、システムはただエラーを返します。
0
最初にすべきことは、SQLインジェクションを不可能にすることです。私の理解では、このアプローチではSQLインジェクションは発生しません。これは「パラメータ化された入力」と呼ばれます。
string commandText = "UPDATE Sales.Store SET Demographics = @demographics "
+ "WHERE CustomerID = @ID;";
SqlCommand command = new SqlCommand(commandText, connection);
command.Parameters.Add("@ID", SqlDbType.Int);
command.Parameters["@ID"].Value = customerID;
// Use AddWithValue to assign Demographics.
// SQL Server will implicitly convert strings into XML.
command.Parameters.AddWithValue("@demographics", demoXml);
2番目の方法は、GUIDをURLに渡さないことです。これにより、変更が非常に簡単になるため、この値をGETの代わりにPOSTに渡すことができます。これにより、SQLインジェクションからの保護はできませんが、少し難しくなり、データの整合性を確保するのに役立ちます。
詳細情報:http://msdn.microsoft.com/en-us/library/system.data.sqlclient.sqlcommand.parameters.aspx
1
シンプル。 入力を常にサニタイズします。暗黙のうちに、外部ソース(ユーザー、クライアントマシンなど)から受信したものを絶対に信頼または実行しないでください。
GUIDの場合、文字列の代わりにSystem.Guidデータ型を使用します。つまり、SQLクエリでそれを使用する場合は、GUIDの文字列表現をクエリに連結するだけではありません。 query parametersを使用し、受け取った文字列から作成された実際のSystem.Guidオブジェクトを渡します。
文字列の解析時に実際にSystem.Guidを作成できない場合は、入力が無効であることを示します。その時点で、SQLクエリを作成しようとすることや、データアクセスレイヤーを何らかの方法で使用しようとするだけで、ユーザーにエラーを返しても構いません。
0
IDクエリ文字列パラメータの値を直接データベースに渡さないでください。
C#を使用しているため、クエリーパラメータなどのエンティティフレームワークなどのデータを使用して、データがSQL Server用に正しくフォーマットされるようにすることができます。ただし、有効なGUIDかどうかは確認できません。 SQLインジェクション攻撃の詳細については、クエリタイプ軍)
、ここで私は何年か前に書いた記事です:http://colinmackay.co.uk/blog/2005/04/23/sql-injection-attacks-and-some-tips-on-how-to-prevent-them/
関連する問題
- 1. ウェブURLを参照するときにmysql注入を避ける方法
- 2. webappテンプレートのURLをハードコーディングするのを避ける方法
- 3. MasterpageのURL書き換えを避ける方法
- 4. IOS/AndroidアプリでハードコーディングされたURLを避ける方法
- 5. NSCachedImageRepを避ける方法
- 6. csvを避ける方法インデックスを避ける?
- 7. 避ける方法.IllegalStateException
- 8. 避ける方法#ifdef __x86_64__
- 9. 避ける方法Uncaught ReferenceError
- 10. 避ける方法? .htaccessファイル
- 11. React-Redux-RouterのConcat URLを避ける
- 12. ブラウザからのナビゲーションを避けるURL
- 13. $ location.urlのURLデコードを避けるには?
- 14. エンドユーザがtextarea jqueryでURLを与えるのを避ける方法
- 15. androidのcreateBitmap()クラッシュを避ける方法
- 16. 入力のラベルを避ける方法
- 17. メインテーブルのスキャンを避ける方法
- 18. XMLスキーマのcomplexTypesを避ける方法
- 19. テラデータの結合を避ける方法
- 20. ローマの例外を避ける方法
- 21. リンクのタブストップを避ける方法は?
- 22. 多くのサーブレットを避ける方法
- 23. 避けるためにDjangoのURLパターンを設計する方法
- 24. ウェブAPIで外部の休息URLを認証する方法
- 25. DjangoでのURL構造の繰り返しを避ける方法
- 26. AngularJS:$場所とURLエンコードを避ける
- 27. セキュリティ警告を避けるカスタムURLプロトコル
- 28. Angular JsでURLに追加されたパラメータのエコーを避ける方法
- 29. PHPコードインジェクション
- 30. arangoDBで重複を避ける方法
することは同じでは 'System.Guid'で行うことができます –