Es mi primera vez en vías de desarrollo el uso de MVC y quiero estar seguro.

Cuando yo uso HtmlEncode convierte la Cadena a la equivalente de la Cadena HTML.

El usuario puede introducir en la búsqueda, por ejemplo, ali’ o ali– y que existen en mi base de datos. Cómo controlar mi búsqueda y de inicio de sesión de la inyección de SQL, por favor?

También algún tutorial o mejores prácticas para prevenir la inyección de secuencias de comandos?

¿cómo acceder a tu base de datos? LINQ ? Entity Framework?
Yo uso la normal , la que usted prefiera o Entity framework, LINQ
Echa un vistazo a este PARA enlace…. Tanto se compruebe la inyección de sql….
gracias lo que acerca de inyección de secuencias de comandos por favor
Por favor, mejorar la mencionando cómo tener acceso a la base de datos.

OriginalEl autor AMH | 2012-01-31

3 Comentarios

  1. 15

    LINQ y Entity Framework ya de verificación para la Inyección de SQL para usted.

    Pero usted debe leer la documentación de todos modos:

    LINQ Enlace de MSDN (sección de Ataques de Inyección SQL)

    Entity Framework Enlace de MSDN (sección Consideraciones de Seguridad para las Consultas)

    Espero que ayude!

    ¿qué acerca de inyección de secuencias de comandos
    Yo creo que debe ser otra pregunta, pero este link podrían ser de ayuda: asp tutoriales
    lo que usted prefiere por favor LINQ o EF
    En mi caso particular prefiero EF, pero no sé de qué estás tratando de construir… en Realidad yo tomé la decisión de la lectura de este
    Tengo una base de datos que contiene mi sitio web, y se conectará, agregar, eliminar de ella

    OriginalEl autor Cacho Santa

  2. 8

    Mientras que el uso de consultas parametrizadas o un ORM como NHibernate o Entity Framework usted no tiene que hacer nada para evitar la inyección de código SQL. Los parámetros se pasan al servidor fuera de la instrucción SQL real, como parte de la llamada RPC en el servidor. La mayoría de los Orm usar consultas con parámetros de rendimiento reasones, por lo que no es vulnerable a la inyección de SQL.

    La Inyección SQL es posible sólo si se crea una instrucción SQL mediante la concatenación de los valores de cadena.

    Que dijo, todavía tienen que tener cuidado con la entrada del usuario para prevenir ataques con inyección de scripts. Afortunadamente, ASP.NET MVC ya proporciona un mecanismo de validación de la solicitud (ver La Comprensión De Validación De La Solicitud).

    pero me canse de drop database sé por pasar valores de los parámetros
    No importa lo que pase a los parámetros y por parámetro yo me angustia un DbParameter objeto derivado como SqlParameter (msdn.microsoft.com/en-us/library/…), se pasará al servidor como una cadena simple. Nunca es ejecutado. Usted todavía puede tener problemas si uso el valor almacenado para la construcción de una instrucción SQL en la concatenación de cadenas en alguna otra parte de su aplicación.

    OriginalEl autor Panagiotis Kanavos

  3. 4

    Si usar LINQ para realizar sus consultas de base de datos, elimina ese tipo de inyección de código SQL riesgos para usted.

    gracias admite la ROM, bases de datos , lo que acerca de inyección de secuencias de comandos por favor

    OriginalEl autor Hanno

Dejar respuesta

Please enter your comment!
Please enter your name here