Вредоносный ввод в ASP.NET MVC

Question

У меня есть ASP.NET MVC 1.0 и приложение Entity Framework v1.

По умолчанию контент, отправленный пользователем, проверяется на вредоносный ввод. (См. здесь ). HTML кодирование данных, представленных пользователем, предотвращает атаки инъекций JavaScript. Entity Framework внутренне использует параметризованный SQL, который остановит внедрение SQL.

Достаточно ли этого? Что еще можно сделать, чтобы обнаружить и остановить вредоносный ввод (javascript / sql инъекция)?

Пожалуйста, сообщите.

Спасибо.

Answer 1

Используйте атрибут Bind (Include ...) для предотвращения проблем с чрезмерной публикацией.

Для получения дополнительной информации перейдите по этой ссылке: http://bradwilson.typepad.com/blog/2010/01/input-validation-vs-model-validation-in-aspnet-mvc.html

Надеюсь, это поможет.

Answer 2

В дополнение к тому, что написал @ ali62;

[AcceptVerbs(HttpVerbs.Post)]
public ActionResult MyAction( [Bind(Exclude="id")] User user )
{
    return View();
}

и

[AcceptVerbs(HttpVerbs.Post)]
public ActionResult MyAction( [Bind(Include="name, email")] User user )
{
    return View();
}

Answer 3

Вы должны использовать ViewModels для представления и извлечения данных из представлений, а затем проверять их. Это будет проверка ввода.

Затем передайте данные из ViewModels в ваши DomainModels (EF). Затем вам следует проверить модель вашего домена, чтобы предотвратить нарушение правил домена.