-3
我發現文檔談論「評估和演示是邪惡的」,我的理解是有性能問題,甚至MSDN說明它:評估安全性?
因爲這種方法進行後期綁定的評價,使用反射 在運行時,它可能會導致性能相比 標準ASP.NET數據綁定語法明顯慢 - MSDN
出了性能問題下面的代碼,並考慮:
<%# Eval("MyDataFieldFromDataBase") %>
可以做些什麼來防止字段被危險地解釋(以防止代碼注入)?
Q
評估安全性?
A
回答
1
我相信你在談論一些不同的Eval,而不是ASP.NET的。在aspx中的Eval只是一個method,它和其他方法一樣有害。
它的一個潛在問題是,Eval返回一個對象,所以如果你的代碼沒有期待這個特定的類型,你可以得到無效的轉換異常。因此,您在頁面上使用Eval時沒有類型安全性。另一件事是Eval不會做任何類型的轉義,所以如果你的數據庫中有潛在危險的內容,它將被Eval返回。但是這不是特定於Eval的問題,您只需確保您清理所有用戶輸入,Eval就無關緊要。
除此之外ASP.NET的Eval是完全無害的。
相關問題
- 1. .NET CLR何時評估安全屬性?
- 2. Grails自定義安全評估程序
- 3. 安全地評估簡單的數學
- 4. 與`seq`相比``評估'安全嗎?
- 5. 評估用戶代碼的安全性問題是什麼?
- 6. 彈簧安全性自定義權限評估器拋出ClassCastException
- 7. 使用eval進行表達式評估安全性如何?
- 8. 評估安裝SQL Server的性能
- 9. 評估「值」屬性
- 10. 評估BLASTn評分的重要性?
- 11. PHP安全性:評估用戶輸入的字符串的風險
- 12. 評估DOM操作性能
- 13. 評估動態屬性
- 14. 變量的惰性評估
- 15. 重新評估ModelState.IsValid屬性
- 16. POI公式評估性能
- 17. 龍捲風性能評估
- 18. 非平凡惰性評估
- 19. 評估類的可分性
- 20. 如何評估CUDA性能?
- 21. 評估設計時,您如何評估複雜性?
- 22. 評估表達式通用C#評估條件多態性
- 23. 哪些語言具有現成的安全評估環境?
- 24. 項目管理期間的安全評估
- 25. 在if語句中依賴條件評估順序安全嗎?
- 26. 在Python安全評估字符串調用hashlib
- 27. 安全評估用戶定義的計算
- 28. JS中的函數動態評估(這是安全的嗎?)
- 29. 如何安全評估用戶輸入表達式
- 30. jQuery會安全評估對HTTP POST的JSON響應嗎?
您還沒有明確表示「hack」是什麼意思。 – mason
使eval做任何事情比顯示'Foo.MyDataFieldFromDatabase'的值。 –
爲什麼?你想達到什麼目的? – mason