防止在.NET XPath注入2.0

Question

我有以下代碼以獲取舊網站中的一些翻譯（它也像這樣在有更重要的信息，其他一些功能。）

Dim myDoc As New XmlDocument 
myDoc.Load(Server.MapPath("\GlobalContent\TranslationXML\TranslationXML.xml")) 
Dim translationText As XmlNodeList = myDoc.SelectNodes("Transaltions/language[@code='" + hLang.Value + "']") 

的Hlang來自用戶輸入，正如你所看到的，這很容易受到Xpath注入攻擊。

我想申請我做SQL注入同樣的事情，那就是使用的參數，但還沒有找到如何做到這一點在2.0

我已經試過這個教程：http://weblogs.asp.net/cazzu/archive/2003/10/07/30888.aspx

但DynamicContext只是一個庫的一部分，我不能使用它。

任何人都可以指導我如何解決這個問題？

Answer 1

不幸的是，無論是XmlDocument還是XPathDocument都提供了一種使用替換編譯XPath的好方法（類似於編譯的SQL查詢）。因此，我建議稍微更詳細但安全的方法 - 使用主XPath獲取XmlNodeList，並遍歷每個節點並檢查該屬性，直到找到一個或多個匹配項爲止：

示例C＃代碼VB，但我很生疏）：

XmlNodeList nodes = myDoc.SelectNodes("Transaltions/language"); 
foreach (XmlNode node in nodes) { 
    XmlElement elem = (XmlElement)node; 
    if (elem.GetAttribute("code") == hLang.Value) { 
     //elem is your match 
    } 
} 

Answer 2

在防止XPath注入的主要思想是預編譯要使用，並允許XPath表達式變量（參數）的話，其在評估過程將由用戶輸入值代替。

在.NET：

1. 有XPathExpression.Compile()您的XPath expresion預編譯。

2. 使用XPathExpression.SetContext()方法指定爲背景解析爲用戶輸入的值某些特定變量的XsltContext對象。

你可以閱讀更多有關如何評估包含變量here XPath表達式。

此文本包含很好和完整的例子。