インジェクション防止

#author("2019-11-06T12:52:55+08:00","default:Admin","Admin") .NET Framework

サニタイジングする必要がある記号、文字列 †
[edit]

net user 
xp_cmdshell 
/add 
exec master.dbo.xp_cmdshell 
net localgroup   administrators 
select 
count 
Asc 
char 
mid 
' 
; 
" 
\(円記号)
/* ... */
--
insert 
delete   from 
drop   table 
update 
truncate 
from 
%

このページのトップへ

注意点 †
[edit]

　URLとTextBoxの入力（もちろんほかにクッキーなどの手段があります）からインジェクションができます、うちにURLに対するサニタイジングなら、すべての危険コードを検査します、TextBox入力をサニタイジングする場合、正常の入力をサニタイジングしないように、記号のみをエンコードすれば、いいでしょう。

ほかの注意点：

HttpUtilityクラスのHtmlEncodeメソッドで単に下記の５種類の文字をエンコードできますので、サニタイジングなら完全にHtmlEncodeに任せないです。
```
"
&
<
>
文字コードが0x0A～0xFFの文字
```
URLの長さを制限する
インジェクション側のIPアドレスを記録、ブロックする
添付ファイルを格納するディレクトリなど書き込む必要がある処以外、すべてReadOnlyに設定する
DbParameterクラスを利用して、SQLコマンドを作成する。（複数データベースのサポートに面倒）
データのタイプ、長さを予想できるなら、型、データを検査を行います、文字列の場合、正規表現でチェックします。

まだ何かありましたら、コメントお願いします。

コメント：

このページのトップへ

サンプル †
[edit]

JavaScriptサニタイズサンプル

<script   language= "javascript "> 
<!-- 
  var   url   =   location.search; 
  var   re=/^\?(.*)(select%20|insert%20|delete%20from%20|count\(|drop%20table|update%20truncate%20|
           asc\(|mid\(|char\(|xp_cmdshell|exec%20master|net%20localgroup%20administrators|\ 
           "|:|net%20user|\ '|%20or%20)(.*)$/gi; 
  var   e   =   re.test(url); 
  if(e)   { 
    alert( "何をするつもりですか？"); 
    location.href= "error.asp "; 
  } 
//--> 
<script>

このページのトップへ