NET代码安全 界面漏洞防范与程序优化

一、 SQL 注入攻击的源头

1. 过滤或转移危险字符

2.  使用SqlParameter类：.NET 框架有一个叫做SqlParameter 的集合类型，可以提供类型和长度检查， 并且自动转义用户输入。

3. 用正则表达式限制输入， 例如可以从System.Text.RegularExpressions命名空间中用类Regex来限制输入。

4. 使用最小特权

5.拒绝一的攻击签名：

根据应用程序的行为，可以拒绝访问可能有危险的数据。过滤危险的SQL命令的关键字， 如drop,delete,insert 或者update 等。

6.加密处理

在System.webSecurity.Forms Authenatication 类 有一个HashPasswordForStoringConfigFile, 适合对输入数据进行处理。

7. 在服务器上处理错误

如果在Try 和 Catch 语句中隐藏数据库行为，并在服务器端正确处理错误， 则可以避免攻击者收集信息。在Catch语句中记录发生的错误的详细信息将有助于得知受到的攻击， 以及攻击的企图。