.NET 库来清理输入？

Question

是否有经过彻底测试的 .NET 库可以清理脚本/sql 注入等输入？

Answer 1

SQL 注入和跨站脚本（又名 XSS 或脚本注入）是不同的问题。

1) SQL 注入非常简单，始终使用参数化查询（SQLParameter），并尽量不要在 T-SQL 存储过程中执行 sp_exec @query。 .Net 参数化查询无法防止这种二阶注入。

2) XSS 更难普遍缓解，因为 HTML 文档中有很多地方可以插入 JavaScript。 使用 AntiXSS 对用户数据进行编码的建议是正确的。 在将用户数据插入输出文档之前使用此库。 不幸的是，如果您使用 ASP.Net 服务器控件对所有数据进行编码，可能会导致双重编码和显示伪像。 发生这种情况是因为某些控件属性对数据进行编码，而另一些则不编码。 请参阅 此表来查找默认编码的属性。 在分配给任何不编码的属性之前，请使用 Anti-XSS。

Answer 2

使用参数化命令来防范 SQL，而不是尝试清理字符串注射。

Answer 3

AntiXSS 可用于防止 XSS 攻击。

Answer 4

如果您使用的是 ASP.NET 4.5，您现在可以使用附带的 AntiXSS 功能在框架中。

这些是已合并到 ASP.NET 4.5 中的外部 AntiXSS 库的部分：

• HtmlEncode、HtmlFormUrlEncode 和 HtmlAttributeEncode
• XmlAttributeEncode 和 XmlEncode
• UrlEncode 和 UrlPathEncode（新）
• CssEncode

Answer 5

我喜欢使用 Microsoft AntiXSS 库。 它是免费的并且非常易于使用。

对于 SQL 注入，我总是使用参数。 同样，它们很容易使用，而且我不喜欢尝试转义特殊字符。 如果你问我的话，这就是灾难的根源。