不要相信客户端的输入

最新推荐文章于 2022-10-10 21:39:10 发布
最新推荐文章于 2022-10-10 21:39:10 发布
阅读量110 收藏
点赞数
原文链接:http://www.cnblogs.com/jicheng1014/archive/2010/01/15/1648580.html
版权

同步自atpking.com

很难理解这句话原来这么牛X

今天看书的时候,举了一个不错的例子

<select  name="city" >
    <option value='Chicago'>芝加哥</option>
    <option value='NewYork'>扭腰</option>
    <option value='Peking'>帝都</option>
</select>

看起来  在form读取的时候

form[city] 最多会有 Chicago Newyork或 Peking 三个值

但是,

不幸的是,html传输的时候全靠get & post

此处如果有伪造post提交

比如  form city  ==> Chicago;delete from users     

那就会被爽歪歪了

 

当然,当你使用微软的dropdownlsit 的时候会神奇般的避免这种被注入的风险

因为微软已经在viewstate 中记录了select 的值,在后台上使用的

dropdownlist.SelectedValue 是需要对比之前的viewstate,若此时出现的值没有在viewstate记录中出现

他会毫不犹豫的抛出异常

 

 

最后扯淡一会,其他技术总是让你弄清楚风险,而微软的技术大多都是让你生活在温室之中,很难说谁好谁坏。另附,微软声明不会退出中国市场。

 

800px-Microsoft_Sign_on_German_campus

转载于:https://www.cnblogs.com/jicheng1014/archive/2010/01/15/1648580.html

aisuishao7740
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入-不要相信用户所输入的一切信息
OneOneZzzzzz
09-19 365
SQL注入式是后台通常没有对特殊字符和某些信息没有做过滤和特殊处理的情况,将用户提交的数据直接拼接成sql语句直接执行所导致的问题 按照注入点的类型来分存在字符型的注入和整型的注入 按照提交方式分get,post,cookie,header注入 按照执行的效果来分有基于布尔的盲注,基于时间的盲注,基于报错注入,联合查询注入,堆查询注入 不大明白的是堆查询和时间的效果,布尔则用查询的真假来判断,报错则为页面的报错状态判断,联合查询则为union语句来判断 SQL注入的问题所在则为相信了用户所提交的信息且
永远不要相信用户的输入
xyjikl
11-22 2989
“永远不要相信用户的输入”是对设计人员和编码人员说的,是进行安全设计和安全编码的重要准则。换句话说,任何输入数据在证明其无害之前,都是有害的。许多危险的漏洞就是因为过于相信用户的输入是善意的而导致的。     文章“我的网络安全观点之六:漏洞无处不在”中的例子中,程序直接引用输入数据作为页面模板文件名装载并显示处理,这是一个典型的信息泄漏的漏洞。还有一种常见的漏洞是直接引用输入数据构造查询数
永远不要相信用户的输入---------ShellShock------------
yingrenzhe68的专栏
10-02 389
什么是ShellShock漏洞? 继上次震惊业内的Heartbleed漏洞被曝出后,现在又一个影响广泛的ShellShock漏洞再次出现在大众的面前。近日,美国的国家漏洞资料库(NVD)对其发布了最新的漏洞通报(编号为CNNVD-201409-938)。那么这个漏洞将会产生怎样的影响,企业又该怎样防范呢? 什么是ShellShock漏洞? 此次曝出的ShellShock漏洞存在于Un...
永远不要相信用户输入的!
andi3286的博客
11-01 349
以前我所忽略的东西这是,现在才算彻底的明白,亏我还做了那么上时间的黑客爱好者。哎!说起来惭愧阿。。。 言归正传,起初还有点不敢苟同,现在看来我是真的明白了。 我们都知道HTTP协议本身就是非常不可靠的,不要相信任何用户的输入,包括Server变量里面的任何东西,这是HTTP安全编程的第一个指导原则。(我是记住了)必要的时候进行数据的重新效验。 我们都知道,怎么样去注入一个网站,如下...
PHP 不要相信用户的任何输入
ydm东方旭日的专栏
11-19 1609
做Web开发,有一个很重要却又很容易被一些开发人员忽略的东西:网站安全。 关于网站安全的解释,百度百科上是这样解释的:网站安全是指出于防止网站受到外来电脑入侵者对其网站进行挂马,篡改网页等行为而做出一系列的防御工作。由于一个网站设计者更多地考虑满足用户应用,如何实现业务。很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见,大多数网站设计开发者、网站维护人员对...
Android实现客户语音动弹界面实例代码
01-20
今天为大家介绍一下语音动弹界面的实现,新版本的客户大家应该都看过了,这里我就只简单的介绍一下控件布局了。你可以在这里看到本控件的完整源码:...
海康大华监控版客户 DEMO 最新版
04-13
信息获取效率,取决于您的电脑配置和网络是否稳定,正常情况下,1秒钟10个摄像头的信息轻松获取,强大到你无法相信! 我敢说,目前市面上没有比我这个强大的 监控信息批量获取说明 1.首先,点击创建清单,需要把您...
PHP基于Linux的远程管理系统客户的实现(源代码+lw).zip
09-01
此外,我们还采用了安全性的最佳实践,如输入验证、安全过滤和加密存储等,以保护用户数据的安全性。 我们的项目源码具有良好的可读性和可维护性,采用了面向对象的设计原则和模式。我们使用了MVC(Model-View-...
超级强大远程桌面集群管理器集成VNC客户
11-02
相信很大一部分用户都在使用这个通道对远程的电脑进行管理,但是假如您是一位管理员,您管理着数十台电脑的话,可能一一输入用户和密码太麻烦了。 它可以做到批量登陆管理3389服务器,批量登陆多台服务器必备,一次...
flutter 输入框组件TextField的实现代码
01-21
相信大家在原生客户上都用过这个功能,就不在做具体介绍了,接下来还是具体介绍下Flutter中TextField的用法。 以下内容已更新到 github TextField的构造方法: const TextField({ Key key, this.controller, //...
【安全设计准则】永远不要相信客户输入
aovenus的专栏-测试新时代(微信公众号:测试新时代)
12-04 1043
【安全设计准则】永远不要相信客户输入
表单校验(永远不要相信用户传过来的数据)
cvvvvvvvvvv的博客
10-21 4282
自定義校驗規則
防止SQL注入:永远不要信任外界输入的数据,特别是来自于客户的,包括选择框、表单隐藏域和 cookie
qq335302134的博客,路漫漫其修远兮
12-22 651
永远不要信任外界输入的数据,特别是来自于客户的,包括选择框、表单隐藏域和 cookie 永远不要使用超级用户或所有者帐号去连接数据库。要用权限被严格限制的帐号。 检查输入的数据是否具有所期望的数据格式。PHP 有很多可以用于检查输入的函数,从简单的变量函数和字符类型函数(比如 is_numeric(),ctype_digit())到复杂的 Perl 兼容正则表达式函数都可以完成
一定不能相信客户传的值
zxr的博客
08-10 176
客户传的值可能由于各方面原因,会出现错误,特别是金额有关的,一定要双方算好,检验彼此的值。
React中的dangerouslySetInnerHTML
热门推荐
txl2498459886的博客
10-10 1万+
dangerouslySetInnerHTML,翻译过来就是:危险的设置内部HTML。要知道有这么一句话:“永远不要相信用户的输入”。用户有时候不会按照程序员所设想的规则来进行数据的输入,比如想要用户输入数字,用户却输入的是文本,类似的情况比比皆是。
web开发安全守则之永远不要相信用户的输入
weixin_30765319的博客
07-12 268
一直听说 永远不要相信用户的输入,我一直没有足够地重视。今天让我彻底地明白这个安全原则是多么的重要。 最近上了一个social game游戏项目,其中涉及到道具的购买。我们将这个游戏放到facebook和mixi平台上面,没有发生任何问题(没有人去攻击)。最近将其发布到人人网平台上,于是接二连三地攻击出现了。其他的一些攻击问题我不详细说了,就谈谈我开发的购买道具时候出现的问题: 下...
Web开发中常见的安全缺陷及解决办法
『 李天平的博客 』
09-20 1534
一、不能盲目相信用户输入 二、五种常见的ASP.NET安全缺陷 2.1 篡改参数 2.2 篡改参数之二 2.3 信息泄漏 2.4 SQL注入式攻击 2.5 跨站脚本执行 三、使用自动安全测试工具 正文: 保证应用程序的安全应当从编写第一行代码的时候开始做起,原因很简单,随着应用规模的发展,修补安全漏洞所需的代价也随之快速增长。根据IBM的系统科学协会(Systems Sciences Instit
protobuf-3.7.0-py2.7.egg
最新发布
06-20
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
redis进入客户后怎么输入密码
07-20
在 Redis 客户输入密码的方式取决于你所使用的 Redis 客户工具。一般来说,你可以按照以下步骤输入密码: 1. 打开终或命令提示符窗口,然后启动 Redis 客户。你可以使用以下命令启动 Redis 客户: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值