Asp.net之數(shù)據(jù)過濾淺析

更新時間：2011年11月19日 18:27:48 作者：

在B/S開發(fā)中，安全性能應該是需要注意的，很多年前有位高人說過，凡是來自客戶端的數(shù)據(jù)，都是不可信的，今天開發(fā)時，把數(shù)據(jù)過濾的方法重寫了一下，所以忍不住想拿出來討論下，歡迎大家指點

在Asp.net開如中，引發(fā)安全問題最多的大多來自于以下三個方面：
　　1.上傳
　　2.跨站
　　3.注入
　　上傳的安全問題不在本文討論范圍內，這里只討論跨站與注入的問題，而這兩者都是基本可以通過過濾來處理的！把注入放在最后面是因為，SQL注入玩了這么多年，大家應當有了一定的防范，只要稍有點注意，能在asp.net上面玩下的注入還是相當少的！注意這以下幾點。
　　1.所有的參數(shù)。如果是int類型的，請轉換成int再處理! 別拿裝箱與拆箱來說事!估計現(xiàn)在大家也不會把sql語句直接在web里面拼接了，起碼也要用上幾個類，中間的一些簡單的邏輯處理！類型轉換還是要涉及到的
　　2.盡量使用參數(shù)化查詢！
　　3.起碼要注意過濾單引號（其實如果使用參數(shù)化查詢，不過濾也沒事，不過我還是習慣性過濾）！
　?。?不要直接把錯誤赤裸裸的暴露給用戶！這點不僅僅是為了防范注入，同時也是一個用戶體驗問題！通過重寫OnError事件，再繼承，能很好的處理！
　　而相對于跨站，防洗耳范起來就麻煩多了，過濾一直是個很糾結的東西，過濾太嚴了，影響正常使用，沒過濾好，又引發(fā)安全問題！我把我剛寫的過濾類拿出來，也許其中還有沒有考慮到的地方，希望大家指點，

復制代碼代碼如下:

 
public static string StringFilters(string input) 
{ 
if (string.IsNullOrEmpty(input)) 
return input; 
/*跨站攻擊過慮*/ 
input = input.Replace("&#", "&＃");//過濾&#　攻擊方式&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29 
input = Regex.Replace(input, @"javascript:", "&#74;aｖasｃript&#58;", RegexOptions.IgnoreCase);//過濾JS 攻擊方式：javascript:alert('XSS'); 
input = Regex.Replace(input, @"vbscript:", "&#86;&#98;scｒiｐt&#58;", RegexOptions.IgnoreCase);//過濾JS 攻擊方式：vbscript:msgbox('XSS'); 
input = Regex.Replace(input, @"j *a *v *a *s *c *r *i *p *t:", "&#86;&#98;scｒiｐt&#58;", RegexOptions.IgnoreCase);//攻擊方式：java script:alert('XSS'); 
input = Regex.Replace(input, @"\/\*[sS]*\*\/", "<!-- code -->", RegexOptions.IgnoreCase); 
input = Regex.Replace(input, @"expression", "ｅxpreｓsiｏn", RegexOptions.IgnoreCase); 
input = Regex.Replace(input, @"<[\u0020]*style[^>]*>", "&#83;&#58;yle", RegexOptions.IgnoreCase); 
input = Regex.Replace(input, @"<[^>]*object[^>]*>", "&#111;&#98jec&$58", RegexOptions.IgnoreCase);//攻擊方式 <OBJECT TYPE="text/x-scriptlet" DATA="http://www.cnblog.cn"></OBJECT> 注意，這樣過濾后將無法使用FLASH 
/*各種事件過濾*/ 
input = Regex.Replace(input, @"<[^>]*[\u0020]+on[A-Za-z]{3,20}[\u0020]*=[\u0020]*[^>]*>", "Js Event", RegexOptions.IgnoreCase);// 
input = input.Replace("'", "&#39;");//單引號防止ＳＱＬ注入 
input = Regex.Replace(input, @"script", "&#83;&#99;ript", RegexOptions.IgnoreCase);//防止腳本攻擊 
input = Regex.Replace(input, @"frame", "&#102;&#114;ame", RegexOptions.IgnoreCase);//防止iframe 掛馬 
input = Regex.Replace(input, @"form", "&#102;&#111;rm", RegexOptions.IgnoreCase);//禁止表單提交 
input = Regex.Replace(input, @"meta", "&#109;&#101;ta", RegexOptions.IgnoreCase);//防止用使meta跳轉到非法網(wǎng)頁 
return input; 
} 