为了防止Sql注入等攻击,我们都会在使用来自用户输入的信息时进行验证,验证是不是数字,是不是超长等
其中用户输入信息的主要来源就是url中的参数,而在asp.net中开发时往往一个页面中会包含大量的用户控件(WebUserControl),而在每一个Control中都要作验证的话不仅麻烦,也不容易维护,也降低了程序性能(虽然很小),针对这种现象,我想到了以下的解决方法,与同仁们分享:
使用规范的url参数命名
比如,我们期望url中把某产品的ID传递过来,我们一般会类似这样传递:
http://www.example.com/Detail.aspx?productID=123456
因为productID一定要为数字(数据库中的字段类型),所以我们会在每个用到productID的Control中都要进行验证:
if(WebUtility.IsNumber(Request["productID"])) //WebUtility.IsNumber()为自己写的用于判断是否为数字的方法
{
....
}
一旦有需要修改时可能每就得修改不少地方,这样也不利于维护
其实,我们可以修改一下"productID"的命名,比如:N_productID,这样我们可以定义只要是参数名是以大写"N"开始的就表明其值一定要是数字,这样我们就可以在模板页或页面基类中的Page_Init事件中就可以判断用户输入的是不是正确的类型值,而且每次请求只需要判断一次,提升点性能,也增强了可维护性,示例:
你可以使用下面的定义方式:
N 表示值为数字
C 表示只能为数字或字母,不能有特殊字符
S 表示值为字串, S50_ 可以表示最多允许50个字符的字串