我正在创建一个Asp.Net程序的用户界面,用户可以浏览和更改数据库中的信息。因此,他们需要能够使用所有形式的字符,但我仍然需要保持程序HTML和SQL本身的安全性。为此,我正在使用一种自建方法,在处理文本框之外的内容时,将危险字符(如“<”等)替换为它们的html代码(在页面加载时发出,因此在文本框内没有功能)。
现在我的困境是:为了能够做到这一点,我必须禁用Validaterequest参数,这会导致程序发出投诉。将其设置为False可能会有哪些后果?
SQL查询已经参数化,并且我仅过滤以下标记:
问题:即使我处理了上面的字符,我是否仍然让程序容易受到威胁?基本上这是一个内部网络应用程序,只有少数人能够访问该程序。尽管如此,它所访问的信息相当重要,因此即使是无意的差错也应该被防止。我真的不知道Validaterequest的作用。
编辑:好的,谢谢回答。我将按照最初的计划继续进行。
现在我的困境是:为了能够做到这一点,我必须禁用Validaterequest参数,这会导致程序发出投诉。将其设置为False可能会有哪些后果?
SQL查询已经参数化,并且我仅过滤以下标记:
& # < > " ’ % @ =
问题:即使我处理了上面的字符,我是否仍然让程序容易受到威胁?基本上这是一个内部网络应用程序,只有少数人能够访问该程序。尽管如此,它所访问的信息相当重要,因此即使是无意的差错也应该被防止。我真的不知道Validaterequest的作用。
编辑:好的,谢谢回答。我将按照最初的计划继续进行。