0
DirectorySearcherを使用していて、ユーザ名とパスワードが設定されたDirectoryEntryを渡している場合は、パスワードをエスケープする必要があるかどうか(私たちはユーザ名から脱出する必要がある)DirectorySearcherを使用しているときにパスワードをエスケープしますか?
ここでは、コードの速記です:
var directoryEntry = new DirectoryEntry(domain);
directoryEntry.Username = escaped(username);
directoryEntry.Password = password;
new DirectorySearcher(directoryEntry)
{
SearchScope = searchScope,
Filter = "(&(objectCategory=person)(objectClass=user)" + escaped(filter) + ")"
};
はパスワードがインジェクションのコードが脆弱になりエスケープではないでしょうか?パスワードをエスケープすると、DirectoryEntryの検証が失敗しますか?
ありがとうございました。私はそれを考え出しましたが、申し訳ありませんよりも安全です。 – webwires