使用规范的url参数命名,降低被攻击的危险,提升应用程序性能

最新推荐文章于 2020-05-19 13:32:58 发布
最新推荐文章于 2020-05-19 13:32:58 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: ASP.NET技术 文章标签: url exception asp.net string 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alpsboy/article/details/3926522
版权

为了防止Sql注入等攻击,我们都会在使用来自用户输入的信息时进行验证,验证是不是数字,是不是超长等

 

其中用户输入信息的主要来源就是url中的参数,而在asp.net中开发时往往一个页面中会包含大量的用户控件(WebUserControl),而在每一个Control中都要作验证的话不仅麻烦,也不容易维护,也降低了程序性能(虽然很小),针对这种现象,我想到了以下的解决方法,与同仁们分享:

 

使用规范的url参数命名

 

比如,我们期望url中把某产品的ID传递过来,我们一般会类似这样传递:

http://www.example.com/Detail.aspx?productID=123456

 

因为productID一定要为数字(数据库中的字段类型),所以我们会在每个用到productID的Control中都要进行验证:

if(WebUtility.IsNumber(Request["productID"])) //WebUtility.IsNumber()为自己写的用于判断是否为数字的方法

{

....

}

 

一旦有需要修改时可能每就得修改不少地方,这样也不利于维护

 

其实,我们可以修改一下"productID"的命名,比如:N_productID,这样我们可以定义只要是参数名是以大写"N"开始的就表明其值一定要是数字,这样我们就可以在模板页或页面基类中的Page_Init事件中就可以判断用户输入的是不是正确的类型值,而且每次请求只需要判断一次,提升点性能,也增强了可维护性,示例:

 

 

你可以使用下面的定义方式:

N   表示值为数字

C   表示只能为数字或字母,不能有特殊字符
S   表示值为字串, S50_ 可以表示最多允许50个字符的字串

BoolYang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
URL路径名+参数名+版本号 命名 经验总结(Restful最佳实战)
li_tiantian的博客
08-11 8614
每个资源使用两个URL     资源集合使用一个URL,具体某个资源用一个URL     推荐:         */employees      资源集合的URL 用名词的代替动词表示资源     不推荐:         ~~/getAllEmployees~~         ~~/getAllExternalEmployees~~         ~~/createEmployee~~ ...
URL命名规范
yangcx
01-18 1万+
Browser URL规范 基本规范 不允许出现没有意义的下 URL 只能允许英文字母(az,全小写)、数字(09),英文连接符(-) https://展开的层级目录内容中不允许出现“丨”、下划线“_”、多斜杠字符“//”、“+”、“#”(除特殊情况比如开发人员使用#锚点定位) 层次命名不要超过3个单词 正确示例:https://www.example.com/first/second/third.html 错误示例:https://www.example.com/first/second/
url 命名规范
whatday的专栏
05-19 1万+
描述 进公司没有多久遇到一个问题,定义的url会被大神吐槽说是很渣。之前从来没有注意这块,今天把我们团队的url规范分享给大家。 为什么需要URL规范化 1、网站URL和结构已经成为网站搜索引擎友好的最大基础性问题,网站URL 和结构问题,早发现早优化,越是往后放,最后就成了制约网站运营和产品开发的决定性因素。 2、无论是网站的可用性还是网站对搜索引擎的吸引力,清晰明了的浏览路径都是相当重要的,URL是统一资源定位,即每个网页的网址、路径。 3、浏览路径让网站的导航结构更清晰,可以更加平衡的分布网站权
卧听夏蝉---用url的传值id的一些疑问
weixin_39042981的博客
05-11 448
今天在用url实现传值遇到了一个问题,就是在用id作为传值参数的时候就会跳转到一个奇怪的页面,页面的url是这样的: 正常的url应该是: http://localhost/virtual_website/public/index.php/index/index/student_reply_message.html?id=5 然后我把参数改为除id以外其他的参数就恢复正常了,这是什么原因呢? ...
应用程序设计/命名及编码规范方案
01-31
应增加业务规则层应为业务过程中的基本业务对象实现数据实体(一般是DataSet扩充子类)应单一地使用存储过程操作数据库如果需要与业务无关的基础组件(全局参数配置,异常处理,日志),应包含应用程序框架层(System
SingleInstance-Pipes:使用命名管道进行命令行参数委托的单实例应用程序
06-14
本文将深入探讨如何使用C#语言通过命名管道(Named Pipes)实现这样的功能,同时处理命令行参数的委托。 首先,理解单实例应用程序的概念很重要。这种设计模式确保了当用户尝试启动已经在运行的应用程序时,新的...
django反向解析URLURL命名空间的方法
09-20
在Django框架中,URL反向解析和URL命名空间是两个重要的概念,它们帮助开发者更加灵活和高效地管理应用程序的路由。URL反向解析允许你在视图、模板或其他代码中,通过名称而不是硬编码来引用URL,而URL命名空间则...
xyl.rar_命名规范
最新发布
09-21
在IT行业中,命名规范是代码可读性和可维护性的重要组成部分。"xyl.rar_命名规范" 提到的匈牙利命名法...对于初学者来说,了解并适当应用命名规范是非常重要的,它有助于提升代码质量,使得代码更易于理解和维护。
解析:ClickOnce通过URL传递参数 XXX.application?a=1
01-20
此外,如果你的应用程序需要处理JavaScript中传递的URL参数,可以使用`window.location.search`获取查询字符串,并在服务器端使用相同的方法解析参数。对于JavaScript中的中文参数乱码问题,通常需要在客户端进行...
URL 参数安全
fishyych
04-18 1516
在开发基于web的服务器的时候,我们经常需要传递一些敏感数据,比如用户名密码、信用卡信息等。那么应该如何保证这些信息的安全性?   我目前设计的一个系统,采用HTTPs GET方式来传递信息,里面把信息通过URL参数来传递。这样是安全的么?   我的回答是安全的。因为HTTPs的原理是首先建立一个安全的通道,然后所有的数据都通过这个加密的通道来传输,因此数据的安全性没有问题。对于我设计的系...
URL命名规则
热门推荐
w_amwf的博客
09-16 3万+
1.  RESTful优先原则 1.1. URL命名原则 1、  URL请求采用小写字母,数字,部分特殊符号(非制表符)组成。 2、  URL请求中不采用大小写混合的驼峰命名方式,尽量采用全小写单词,如果需要连接多个单词,则采用连接符“_”连接单词 3、    1.2. URL分级 第一级Pattern为模块,比如组织管理/orgz, 网格化:/grid 第二级Pattern为资源分
记录-java开发API接口防止重放攻击参数防篡改
yuandeng1024的博客
08-09 4680
重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放攻击在任何网络通过程中都可能发生,是计算机世界黑客常用的攻击方式之一。 例子:入侵者从网络上截取主...
参数命名规范
Yshao的博客
03-05 4203
更新时间2019.3.15 安卓的命名规范基本上是按照java来设置的,所以我自己以后在开发的时候命名规范最好按照java的命名规范来,总结一下会用到的命名规范,如果有不对之处请给我留言,互相进步。 1.常量 常量命名力求表达清楚,不要嫌名字长 1.1全局常量 使用public static final修饰,字母全大写,单词间用下划线连接 1.2类内常量 使用private stat...
Asp.net 2.0 中如何调用用户控件(UserControl)的相关方法或属性/如何传参等
学习
09-11 3664
方法一: 直接拖放的用户控件这是某个aspx页-->.....@ Register Src="TestControl.ascx" TagName="TestControl" TagPrefix="MyControl" %>.....MyControl:TestControl ID="TestControl1" runat="server" />.....若TestControl.a
解决Rss/Xml中一不能被识别的特殊字符问题
学习
09-11 1876
 最近在网站发现Rss订阅链接出现“无法识别的特殊字符”问题,这个字符一般出现在某字符串的前面或后面,使用Trim无法去除,在IE中不能正确显示,Firefox中不能显示格式化后的内容,保存xml文件用UltraEdit查看,此无法识别的字符显示为空格,查看字符属性Ascii为32,这个是由于字体显示的问题,实际肯定不是32,因为在程序中查找32字符查不到,最后在Asp.net中用户Server.
转·在DataGrid的删除列上添加javascript认证
学习
01-09 917
有的时候我们要在DataGrid的删除列上添加认证,可以这样  首先建一个DataGrid,然后给她增加一个删除列  runat="server" Text="Delete" CommandName="Delete" CausesValidation="false">  然后在DataGrid 的ItemDataBound事件中这样写Private Sub DataGrid1_ItemDataBo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值