Asp.net之資料過濾淺析

在Asp.net開如中，引發安全問題最多的大多來自於以下三個方面：
　　1.上傳
　　2.跨站
　　3.注入
　　上傳的安全問題不在本文討論範圍內，這裡只討論跨站與注入的問題，而這兩者都是基本可以通過過濾來處理的！把注入放在最後面是因為，SQL注入玩了這麼多年，大家應當有了一定的防範，只要稍有點注意，能在asp.net上面玩下的注入還是相當少的！注意這以下幾點。
　　1.所有的參數。如果是int類型的，請轉換成int再處理! 別拿裝箱與拆箱來說事!估計現在大家也不會把sql語句直接在web裡面拼接了，起碼也要用上幾個類，中間的一些簡單的邏輯處理！類型轉換還是要涉及到的
　　2.盡量使用參數化查詢！
　　3.起碼要注意過濾單引號（其實如果使用參數化查詢，不過濾也沒事，不過我還是習慣性過濾）！
　　４.不要直接把錯誤赤裸裸的暴露給使用者！這點不僅僅是為了防範注入，同時也是一個使用者體驗問題！通過重寫OnError事件，再繼承，能很好的處理！
　　而相對於跨站，防洗耳範起來就麻煩多了，過濾一直是個很糾結的東西，過濾太嚴了，影響正常使用，沒過濾好，又引發安全問題！我把我剛寫的過濾類拿出來，也許其中還有沒有考慮到的地方，希望大家指點，

public static string StringFilters(string input) { if (string.IsNullOrEmpty(input)) return input; /*跨站攻擊過慮*/ input = input.Replace("&#", "&＃");//過濾&#　攻擊方式javascript:alert('XSS') input = Regex.Replace(input, @"javascript:", "Jaｖasｃript:", RegexOptions.IgnoreCase);//過濾JS 攻擊方式：javascript:alert('XSS'); input = Regex.Replace(input, @"vbscript:", "Vbscｒiｐt:", RegexOptions.IgnoreCase);//過濾JS 攻擊方式：vbscript:msgbox('XSS'); input = Regex.Replace(input, @"j *a *v *a *s *c *r *i *p *t:", "Vbscｒiｐt:", RegexOptions.IgnoreCase);//攻擊方式：java script:alert('XSS'); input = Regex.Replace(input, @"\/\*[sS]*\*\/", "<!-- code -->", RegexOptions.IgnoreCase); input = Regex.Replace(input, @"expression", "ｅxpreｓsiｏn", RegexOptions.IgnoreCase); input = Regex.Replace(input, @"<[\u0020]*style[^>]*>", "S:yle", RegexOptions.IgnoreCase); input = Regex.Replace(input, @"<[^>]*object[^>]*>", "objec&$58", RegexOptions.IgnoreCase);//攻擊方式 <OBJECT TYPE="text/x-scriptlet" DATA="http://www.cnblog.cn"></OBJECT> 注意，這樣過濾後將無法使用FLASH /*各種事件過濾*/ input = Regex.Replace(input, @"<[^>]*[\u0020]+on[A-Za-z]{3,20}[\u0020]*=[\u0020]*[^>]*>", "Js Event", RegexOptions.IgnoreCase);// input = input.Replace("'", "'");//單引號防止ＳＱＬ注入 input = Regex.Replace(input, @"script", "Script", RegexOptions.IgnoreCase);//防止指令碼攻擊 input = Regex.Replace(input, @"frame", "frame", RegexOptions.IgnoreCase);//防止iframe 掛馬 input = Regex.Replace(input, @"form", "form", RegexOptions.IgnoreCase);//禁止表單提交 input = Regex.Replace(input, @"meta", "meta", RegexOptions.IgnoreCase);//防止用使meta跳轉到非法網頁 return input; }

補充一下，過濾千萬不要把字串過慮成空，這樣同樣存在安全問題，必須過慮成另外一個字串，比如過濾你好，那麼使用者可以構建這樣一個字元“你你好好”,通過Replace("你好","")之後，輸出的結果，我不說大家也知道！
另外，這裡是考慮了支援ＨＴＭＬ的情況，所以沒有直接過慮角括弧！