消除 SQL 注射...

2004年7月10日星期六8点06分

正在读取 Stefan Demetz的博客 约约 a 移动到微软大厅 更改文本框允许通过数据的方式。 看这里 对不起,但我认为这是一个非常可怕的想法,非常令人想起可怕的事情。 请求估价.NET 1.1.我赞成一种简单的加密和验证查询输入的方法,例如 此处介绍 (除了它使用了 3DES - 不要这样做! 3DES 慢得多, 没有AES那么安全。 那么我有什么问题 改变输入控制默认行为? 简单, 三件事:

1. 如果发生这种情况,这很可能会以这样的方式实施,从而打破了应用软件的开放性(这种情况也发生在1.1方面,因此,仍然有一些应用软件在1.0方面运行)。
2. 如果做到这一点,它必须完全防弹,否则每个应用程序都将依赖一个单一的安全机制,这不是一个好主意!
3. 开发者对责任的直截了当,如果这样做了,它必须在 Web. config 或页面层面被明确授权,我会更高兴。 简言之,我更希望开发者知道代码中发生的事情,因此更有可能知道围绕代码的任何问题。

哦,微软,如果你这样做, 不要做它喜欢View State 你硬代码3DES加密 无法取代你的执行, 至少使它成为提供者!