2
我們的團隊最近一直在爲我們的數據庫開發邏輯和數據層。我們未被批准使用Entity或Linq to SQL來處理數據層。它主要是手工建造的。很多SQL都是自動生成的。這是一個明顯的倒退,就是需要在提取和插入之前對輸入進行消毒。輸入衛生最佳實踐
這樣做的最佳方法是什麼?搜索像插入,刪除等術語似乎是一個很好的方法來實現這一點。有更好的選擇嗎?
Q
輸入衛生最佳實踐
A
回答
2
衛生方面最好的方法就是像人類腎臟一樣工作 - 默認拒絕所有東西,並挑選出你知道的好/安全。
我假設你已經使用所有外部輸入SQL查詢的參數。
對輸入進行消毒的方式通常也是一種很好的做法,儘可能接近UI。
相關問題
- 1. WSDL - 沒有輸入 - 最佳實踐
- 2. 驗證輸入java的最佳實踐
- 3. shell輸入參數的最佳實踐?
- 4. TFVC簽入最佳實踐
- 5. 最佳實踐
- 6. 最佳實踐
- 7. 最佳實踐
- 8. 最佳實踐:
- 9. 最佳實踐
- 10. 最佳實踐
- 11. 最佳實踐
- 12. 最佳實踐
- 13. 最佳實踐
- 14. 最佳實踐
- 15. 最佳實踐
- 16. 最佳實踐
- 17. 最佳實踐
- 18. 最佳實踐
- 19. 最佳實踐
- 20. 最佳實踐
- 21. 最佳實踐
- 22. 最佳實踐
- 23. 最佳實踐{{}}
- 24. 最佳實踐
- 25. 最佳實踐
- 26. 最佳實踐
- 27. 最佳實踐
- 28. 最佳實踐
- 29. 最佳實踐
- 30. 最佳實踐
'這通常也是一種很好的做法,主要儘可能地接近UI來消毒輸入。' 但是請注意不要誇大開始在客戶端做它:-) – 2010-03-13 23:53:31
是的。我已經看到足夠的客戶端驗證,只是不會陷入陷阱,因此「接近UI」而不是「在UI中」;-) – mfloryan 2010-03-14 19:30:58