天天躁日日躁狠狠躁AV麻豆-天天躁人人躁人人躁狂躁-天天澡夜夜澡人人澡-天天影视香色欲综合网-国产成人女人在线视频观看-国产成人女人视频在线观看

請(qǐng)不要相信

1.不要相信Request.QueryString:

相信在ASP時(shí)代,這個(gè)問(wèn)題比較嚴(yán)重,不信,隨便到網(wǎng)絡(luò)上找?guī)讉€(gè)ASP的企業(yè)站,找到這種url"view.ASP?id=xxx",改成"view.ASP?id=xxx or 1=1",相信你會(huì)看到不一樣的東西,到了.NET,應(yīng)該很少了,不過(guò)上次看到有人說(shuō)CSDN爆過(guò)哦,簡(jiǎn)單的解決方法是在取得數(shù)據(jù)時(shí)做數(shù)據(jù)類型驗(yàn)證或轉(zhuǎn)換。比如:
int ViewID = 0;
if(int.TryParse(Request.QueryString["ID"], out ViewID)){
 //...
}

2.不要相信maxlength:

有時(shí)候我們想客戶端輸入的某個(gè)值不超過(guò)一定的長(zhǎng)度,這個(gè)時(shí)候可能就會(huì)用到input的maxlength,但maxlength能100%保證這個(gè)值的長(zhǎng)度不超過(guò)maxlength嗎?請(qǐng)點(diǎn)擊鏈接看看例子

顯然,maxlength是不可信的,簡(jiǎn)單的解決辦法是后臺(tái)代碼驗(yàn)證數(shù)據(jù)長(zhǎng)度:
string UserName = Request.QueryString["UserName"];
if(!string.IsNullOrEmpty(UserName)&&UserName.length > x){
 //...提示錯(cuò)誤或截?cái)鄶?shù)據(jù)
}

3.不要相信Hidden:

有時(shí)候我們想把些信息保存到前臺(tái)頁(yè)面,然后再發(fā)送回來(lái),但是我們又不想讓客戶看到這個(gè)信息,于是,我們把數(shù)據(jù)放到了hidden里面,那客戶提交數(shù)據(jù)時(shí),hidden里的內(nèi)容真的是我們放的內(nèi)容嗎?請(qǐng)點(diǎn)擊鏈接看看例子

這個(gè)我一時(shí)也沒(méi)想到好的驗(yàn)證方法,暫時(shí)也沒(méi)有特殊的需求說(shuō)必須驗(yàn)證。

4.不要相信客戶端驗(yàn)證:

比如2和3中的問(wèn)題,可能有的朋友覺(jué)得,我客戶端再加個(gè)驗(yàn)證不就OK了嗎?可是,往往,客戶端驗(yàn)證也是不安全的,首先,如果客戶端禁用腳本,那客戶端驗(yàn)證是完全失效的,另外,在腳本有效的情況下,腳本驗(yàn)證也是可以被篡改的。請(qǐng)點(diǎn)擊鏈接看看例子

以前QQ空間里可以通過(guò)這個(gè)方法免費(fèi)使用黃鉆模板,不知道現(xiàn)在還有沒(méi)有。這個(gè)就沒(méi)有什么好的解決辦法,只能后臺(tái)再驗(yàn)證一次。

5.不要相信編輯器:

有的時(shí)候,可能項(xiàng)目中要用到一些簡(jiǎn)單的編輯器,于是,我們就找到了一些編輯器,把不需要的功能(比如:編輯源碼、插入圖片等)剔除掉,就成了個(gè)簡(jiǎn)單的編輯器,那這樣的編輯器還會(huì)有什么問(wèn)題嗎?請(qǐng)點(diǎn)擊鏈接看看例子

暫時(shí)也沒(méi)有什么好的解決辦法,以前找到過(guò)過(guò)濾script標(biāo)簽的代碼,但似乎不太完美。

6.不要相信Cookie:

網(wǎng)站中不可避免的會(huì)使用到Cookie,但如果一不注意,小心你的Cookie成了別人的"Cookie",請(qǐng)點(diǎn)擊鏈接看看例子
取Cookie和寫(xiě)Cookie的js方法是在網(wǎng)上找到的,具體鏈接也找不到了。解決辦法,似乎是Cookie加密(當(dāng)然,即使是加密了,也盡量不要把敏感數(shù)據(jù)放到Cookie中),不知道各位高手還有沒(méi)有其它好辦法。

7.不要相信Request.UrlReferrer:

如果有朋友用這個(gè)來(lái)驗(yàn)證請(qǐng)求,那么請(qǐng)注意了,這個(gè)東西也是不可信的。見(jiàn)代碼;
System.NET.HttpWebRequest request = System.NET.WebRequest.Create("NET.HttpWebRequest;
request.Referer = "...

那么,這個(gè)時(shí)候你取得的Urlreferrer會(huì)是http://www.cnblogs.com/,但這個(gè)請(qǐng)求卻是偽造的。

8.不要相信用戶:

用戶就是你潛在的威脅,客戶端的東西,永遠(yuǎn)都不要輕信。

另,select標(biāo)簽的內(nèi)容也是不可信的,大家可以動(dòng)手試試,隨便建個(gè)頁(yè)面,里面放個(gè)select,然后:

歡迎高手不吝賜教。示例代碼下載

NET技術(shù)請(qǐng)不要相信,轉(zhuǎn)載需保留來(lái)源!

鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。

主站蜘蛛池模板: 日韩高清特级特黄毛片 | 国产精品青青草原app大全 | 欧美成人猛片aaaaaaa | 973午夜伦伦电影论片 | 99re6久久热在线播放 | 蜜臀久久99精品久久久久久做爰 | 久久re视频精品538在线 | 日日摸夜夜添夜夜爽出水 | 东北嫖妓对白粗口 | 免费看美女的网站 | 国产色欲一区二区精品久久呦 | 玩弄朋友娇妻呻吟交换电影 | 日韩精品免费一区二区 | 99视频网址 | 亚洲AV噜噜狠狠网址蜜桃尤物 | 北条麻妃夫の友人196 | 嫩小性性性xxxxbbbb | 坠落的丝袜美人妻 | 88福利视频 | 久久午夜伦理 | 岛国在线无码免费观 | 久久99精品AV99果冻传媒 | 日日操天天操夜夜操 | 亚州精品永久观看视频 | 美女撒尿无遮挡免费中国 | 男女夜晚在爽视频免费观看 | 亚洲欧洲日韩天堂无吗 | 亚洲国产精品第一影院在线观看 | 天美传媒在线完整免费观看网站 | 99精品免费久久久久久久久蜜桃 | 在线天天看片视频免费观看 | 久久久精品久久久久久 | 99久久伊人一区二区yy5o99 | 亚洲国产高清福利视频 | 久久午夜夜伦痒痒想咳嗽P 久久午夜夜伦鲁鲁片无码免费 | 免费亚洲视频在线观看 | 国产精品久久久久久久久久久 | 成人在线不卡视频 | 啦啦啦影院视频在线看高清... | 99视频久九热精品 | 色偷偷91综合久久噜噜 |