-
等级
本版专家分:254结帖率 100% -
目前,我们网站那里有个留言板,如何将用户输入的危险字符,转换下!请教高手!我们网站是ASP.NET开发的!展开阅读全文
-
版主等级
本版专家分:172907勋章
-
-
微软MVP
2016年4月荣获微软MVP称号
2015年4月荣获微软MVP称号
2014年4月 荣获微软MVP称号
2013年4月 荣获微软MVP称号
2012年4月 荣获微软MVP称号
2011年4月 荣获微软MVP称号
-
- 红花 2010年9月 挨踢职涯大版内专家分月排行榜第一
-
-
黄花
2010年12月 .NET技术大版内专家分月排行榜第二
2010年10月 挨踢职涯大版内专家分月排行榜第二
2010年8月 挨踢职涯大版内专家分月排行榜第二
-
-
蓝花
2011年7月 .NET技术大版内专家分月排行榜第三
2010年11月 .NET技术大版内专家分月排行榜第三
-
-
1。 采用HTML编码保存,显示时再解码
2。 用字典保存要替换的危险字符,保存/显示前做字符替换处理
-
等级
本版专家分:12880 -
str.replace("危险字符","XXX")
-
等级
本版专家分:254
-
能贴出相关的代码吗?
-
等级
本版专家分:136626勋章
-
-
微软MVP
2014年10月 荣获微软MVP称号
2013年10月 荣获微软MVP称号
2012年10月 荣获微软MVP称号
-
- 蓝花 2009年2月 .NET技术大版内专家分月排行榜第三
-
-
什么危险字符,如果是防止XSS (Cross Site Scripting)的话,可以使用Microsoft Anti-Cross Site Scripting Library V4.2:
http://www.microsoft.com/en-us/download/details.aspx?id=28589
使用方法参考(例子使用的版本比较老,不过使用方式应该差不多。):
Microsoft Anti-Cross Site Scripting Library V1.5: Protecting the Contoso Bookmark Page
http://msdn.microsoft.com/en-us/library/aa973813.aspx
-
等级
本版专家分:95 -
replace
-
等级
本版专家分:169
-
/// <summary>
///这个方法确保用户的输入不是恶毒的
/// </summary>
/// <param name="text">输入字符串</param>
/// <param name="maxLength">最大长度</param>
/// <returns>转换后的字符串</returns>
public static string InputText(string text, int maxLength)
{
text = text.Trim();
if (string.IsNullOrEmpty(text))
return string.Empty;
if (text.Length > maxLength)
text = text.Substring(0, maxLength);
text = Regex.Replace(text, "[\\s]{2,}", " "); //two or more spaces
text = Regex.Replace(text, "(<[b|B][r|R]/*>)+|(<[p|P](.|\\n)*?>)", "\n"); //<br>
text = Regex.Replace(text, "(\\s*&[n|N][b|B][s|S][p|P];\\s*)+", " "); //
text = Regex.Replace(text, "<(.|\\n)*?>", string.Empty); //any other tags
text = text.Replace("'", "''");
return text;
}
-
等级
本版专家分:1016 -
你说的危险字符是不是脚本攻击?
类似:<script></script>?
可用下面的正则将其去除
Regex.Replace(str, "<script[^>]*?>.*?</script>", "");
-
等级
本版专家分:2098 -
js+正则
-
等级
本版专家分:4780
-
参数化提交是王道!
-
等级
本版专家分:730 -
参数化提交只是在sql注入方面有用
xss现在还不能做到100%防御吧 只能过滤掉大部分有害字符 增加被入侵难度
- 客户端输入非法字符的问题
自己在写一个简单的留言板,同时也是在学习,中间遇到了很多问题。 在客户端文本框输入诸如“<h1>Hello</h2>”,“<script>alert('Hello')</script>”,或者单引号都会出现下面提示“...中...
- 网站防止攻击
如何更好的达到防范黑客攻击,本人提一下个人意见!第一,免费程序不要真的就免费用,...如果在细节上注意防范,那样你站点的安全性就大大的提高了。即使出现了SQL Injection这样的漏洞,攻击者也不可能马上拿下...
- js留言板过滤敏感词案例
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-e...
- PHP相关系列 - XSS相关
关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造) 我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,...
- 软件测试规范
第一部分应用程序测试 ...设计合理的界面能给用户带来轻松愉悦的感受和成功的感觉,相反由于界面设计的失败,让用户有挫败感,再实用强大的功能都可能在用户的畏惧与放弃中付诸东流。 1.1易用性测试...
- input屏蔽历史记录 ;function($,undefined) 前面的分号是什么用处 JSON 和 JSONP 两兄弟 document.body....
input屏蔽历史记录 设置input的扩展属性autocomplete 为off即可 ;function($,undefined) 前面的分号是什么用处 ;(function($){$.extend($.fn...现般在一些 JQuery 函数前面有分号,在前面加分号...
- 数字城堡 丹·布朗
下书请到派派论坛 第1章 丹·布朗(Dan Brown)是美国当今最著名的畅销书作家之一。2003年3月出版的《达·芬奇... 丹·布朗出生于美国一个中产阶级家庭,从小在美国新罕布什尔州的埃克塞特镇长大,
- PHP 10个非常实用的高级应用技巧
PHP 独特的语法混合了 C、Java、Perl 以及 PHP 自创新的语法。它可以比CGI或者Perl更快速的执行动态网页。用PHP做出的动态页面与其他... 1, 使用 ip2long() 和 long2ip() 函数来把 IP 地址转化成整型存储到数据库里。
- C++模版STL中 map 和 string, vector 的用法详解
转自:https://blog.csdn.net/wen_ruo/article/details/44786405 参考: https://blog.csdn.net/budf01/article/details/53421144 ... 1. map 用法详解 std map是S...
- SQL注入攻击详解
原文->... 一位客户让我们针对只有他们企业员工和顾客...最后我们在这项任务中大获成功,现在来回顾一下这个过程的每一步,将它记录为一个案例。 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方...
- 安全手册(初稿)[转]
安全手册(初稿) 目录 一、输入验证3 1.什么是输入3 2.输入验证的必要性3 3.输入验证技术3 3.1 主要防御方式3 3.2 辅助防御方式:4 二、输出编码6 1.输出的种类6 ...3.输出编...
- 常见漏洞知识库(原理/场景/修复)
SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验(类型、长度、业务参数合法性等),同时没有对用户输入数据进行有效地特殊字符过滤,使得用户的输入直接带入数据库执行,...
- 小米手机芯片级拆解
小米手机凭借着发烧级的硬件配置成为了目前关注度最高的手机之一,而1999元超低的价格更是被媒体们称为手机市场的搅局者,在手机发布之后更是有人爆出小米手机的制造成本不超过1200元,这与雷军宣称的不计划从第一代...
- 代码审计
代码审计 代码审计可以理解成白盒渗透 我们平时都是黑盒 只能去fuzz(模糊测试) ...一般你是不知道这个页面在哪里的,在登陆的时候抓包,会抓到参数,比如username、password。然后去seay,对这个参数全盘...
- [翻译] 10 件(也许)你不了解 PHP 的事情
来源:10 things you (probably) didnt know about PHPPHP 是我用过的语言中,最令人恼火的但同时也是最有趣的语言。我之所以说"令人恼火"主要是因为函数命名极其不一致。尽管我每天都要用到这些函数,我还是要想...
- STL中map和string, vector 用法详解
std map是STL的一个关联容器,它提供一对一(其中第一个可以称为关键字,每个关键字只能在map中出现一次,第二个可能称为该关键字的值)的数据处理能力,由于这个特性,它完成有可能在我们处理一对一数据的时候,在...
- C++模版STL中 map 和 string, vector 的用法详解!
STL 中 map 和 string, vector 的用法详解 标标签: stringvectoriteratorbasicinsertbuffer 分类: ...std map是STL的一个关联容器,它提供一对一(其中第一个可以称为关键字,每
- STL 中 map 和 string, vector 的用法详解
std map是STL的一个关联容器,它提供一对一(其中第一个可以称为关键字,每个关键字只能在map中出现一次,第二个可能称为该关键字的值)的数据处理能力,由于这个特性,它完成有可能在我们处理一对一数据的时候,在...
- SQL注入中利用XP_cmdshell提权的用法(转)
2008-04-13 16:23先来介绍一下子服务器的基本情况,windows 2000 adv server 中文版,据称打过了sp3,asp+iis+mssql 。首先扫描了一下子端口,呵呵,开始的一般步骤。端口21开放: FTP (Control)端口80开放: HTTP, ...
- 动易安全开发手册
目录 一、 输入验证 3 1. 什么是输入 3 2. 输入验证的必要性 3 3. 输入验证技术 3 3.1 主要防御方式 3 3.2 辅助防御方式 5 二、 输出编码 8 1. 输出的种类 8 ...3. 输出编码
- SQL注入中利用XP_cmdshell提权的用法
先来介绍一下子服务器的基本情况,windows 2000 adv server 中文版,据称打过了sp3,asp+iis+mssql 。首先扫描了一下子端口,呵呵,开始的一般步骤。端口21开放: FTP (Control)端口80开放: HTTP, World Wide Web端口...
- 一次渗透的具体过程
一渗透的具体过程 朋友做了一个财务部门的项目,今天叫我来做免费的渗透测试,下面来谈谈这次的过程和体会。先来介绍一下子服务器的基本情况,windows2000advserver中文版,据称打过了sp3,asp+iis+mssql。...
- Android开发精典案例60个【源码】
60个Android开发精典案例,好东西 - 给大家分享60个Android开发的精典案例,包含任务监听、设备适配,游戏框架搭建,特效实现,多点触控,网络协议,游戏关卡设置等内容。特别是做游戏开发的朋友值得研究。喜欢就拿走吧!
- C语言游戏代码大全
双人贪吃蛇,别踩白方块,玫瑰花,矿井逃生等多种C语言游戏代码等你来实践!
- Parallels Desktop 16 联网启动脚本.command
Parallels Desktop 16 联网启动脚本.command 管理员运行 就能上网(Mac 虚拟机:Parallels Desktop v16.0.1-48919 TNT 直装版 支持 macos 11)
- C#高性能大容量SOCKET并发完成端口例子(有C#客户端)完整实例源码
例子主要包括SocketAsyncEventArgs通讯封装、服务端实现日志查看、SCOKET列表、上传、下载、远程文件流、吞吐量协议,用于测试SocketAsyncEventArgs的性能和压力,最大连接数支持65535个长连接,最高命令交互速度达到250MB/S(使用的是127.0.0.1的方式,相当于千兆网卡1Gb=125MB/S两倍的吞吐量)。服务端用C#编写,并使用log4net作为日志模块; 同时支持65536个连接,网络吞吐量可以达到400M。
- jdk1.8 64位官方正式版 jdk-8u91-windows
jdk1.8 64位官方正式版 jdk-8u91-windows
- C#入门必看实力程序100个
C#入门必看含有100个例字,每个例子都是针对C#的学习关键知识点设计的,是学习C#必须知道的一些程序例子,分享给大家,需要的可以下载
- c语言项目开发实例
十个c语言案例 (1)贪吃蛇 (2)五子棋游戏 (3)电话薄管理系统 (4)计算器 (5)万年历 (6)电子表 (7)客户端和服务器通信 (8)潜艇大战游戏 (9)鼠标器程序 (10)手机通讯录系统