0
我正在開發ASP.NET MVC C#上的SaaS應用程序,我很好奇如果使用存儲過程/函數防止SQL注入和xsxx攻擊?我想對用戶輸入的數據進行某種消毒,但我不知道他們最好的方式是什麼。使用存儲過程是否防止SQL注入/ XSXX攻擊?
如果我需要做一些數據清理,那麼最好的方法是什麼?
A
回答
0
否。
您應該使用參數化查詢,方法是使用SqlCommand並將適當的參數添加到適當的連接。這將防止SQL注入。不能保證所有途徑都受到保護,例如,如果您使用用戶字符串中的sp_executesql。
SQL注入和XSS攻擊是不同的問題。
0
這取決於
SQL注入:避免動態SQL中的存儲過程作爲其脆弱,可以使用SQL注入攻擊被濫用,如果無法避免使用
sp_executesql(正如丹尼爾的答覆中提到) Better WayXSS:對於舊版本的MVC(ASPX視圖引擎的)總是使用
<%: ... %>與Html.Encode()相同。對於@Razor View,@model.something默認情況下會自動編碼,除非您特別使用HTML.Raw。 Nice Read
相關問題
- 1. 防止SQL注入和XSS攻擊
- 2. 防止MDX注入攻擊
- 3. 這是否可以防止注入攻擊?
- 4. React Native的Realm是否可以防止注入攻擊?我已經用於SQL
- 5. pgdb防止注入攻擊嗎?
- 6. 防止命令行注入攻擊
- 7. Spring JDBC是否提供對SQL注入攻擊的防護?
- 8. SQL CLR存儲過程是否阻止注入?
- 9. str_replace的這種用法足以防止SQL注入攻擊嗎?
- 10. 這些SQL查詢中是否存在SQL注入攻擊?
- 11. SQL注入攻擊
- 12. SQL注入攻擊
- 13. 防止輸入型攻擊
- 14. 如何防止AspNetUsers表SQL注入攻擊?
- 15. 準備語句會防止SQL注入攻擊嗎?
- 16. 如何防止URL盲sql注入攻擊
- 17. SQL防止SQL注入
- 18. 防止在您自己的iPhone上使用sqlite注入攻擊?
- 19. 什麼是對SQL Server的SQL注入攻擊?我們如何防止它們?
- 20. 是否存在缺少sql注入攻擊的錯誤?
- 21. 加密是否防止sql注入?
- 22. psychopg2:是否cursor.mogrify防止sql注入?
- 23. SQL注入攻擊 - 使用mysqli_multi_query()
- 24. 如何防止從UI中傳入SQL查詢時發生SQL注入攻擊
- 25. SQL注入攻擊和django
- 26. Erlang和SQL注入攻擊
- 27. 如何防止SQL存儲過程
- 28. 在嘗試使用sql語句存儲文本時接收sql注入攻擊
- 29. SQL Server 2008表值是否容易受到SQL注入攻擊?
- 30. 通過ruby腳本防止SQL注入
因此,我不需要做任何正面擦洗?只要我使用參數和適當的sprocs,我從sql注入保護? – James
是的,但它不能解決XSS,這完全是一個單獨的問題。 –