用户输入的防注入总结 简介和第二步
第二步.约束输入
要约束输入通过如下方法 :
要验证表单里面的HTML控件输入字段,在服务器端代码中进行验证,使用Regex正则表达式类型可以帮助约束字符输入.下面的章节介绍如何约束普通输入类型的变量.
验证字符串字段
使用正则表达式验证控件(RegularExpresionValidator)
要使用则表达式验证控件需要设置待验证的控件名(ControlToValidate),验证表达式(ValidationExpression)和出错提示(ErrorMessage).相关的属性设置请看下面的代码示例.
<
form id
=
"
WebForm
"
method
=
"
post
"
runat
=
"
server
"
>
<
asp:TextBox id
=
"
txtName
"
runat
=
"
server
"
></
asp:TextBox
>
<
asp:RegularExpressionValidator id
=
"
nameRegex
"
runat
=
"
server
"
ControlToValidate
=
"
txtName
"
ValidationExpression
=
"
^[a-zA-Z'.\s]{1,40}$
"
ErrorMessage
=
"
Invalid name
"
>
</
asp:regularexpressionvalidator
>
</
form
>
在上面的代码中,正则表达式被用于限定输入的名字为字母(允许大写字母和小写字母),空格,单名省略号象O'Dell和句点.此外,输入的字符长度被限定在40个字符.
注意 正则表达式验证控件(RegularExpressionValidator)会自动加入脱字符(^)和美元符号($)作为开始和结束的分隔符.如果你没有在自定义的表达式中加入他们那么最好加入.加入分隔符只是为了让你的表达式得到想要的那部分数据内容.
使用正则表达式类(Regex Class)
如果你没有使用服务器端的控件(意味着你不能使用验证控件),或者你需要其它的输入字段源而非表单字段(比如查询字串参数和cookies),那么你可以使用正则表达式类(Regex class).
使用正则表达式类
- 加入使用using前缀的语句导入System.Text.RegularExpressions命名空间.
- 确认正则表达式包含"^"和"$"(字串开始处,字串结束处).
- 调用Regex类的IsMatch方法,下面是代码示例.
//
Instance method:
Regex reg
=
new
Regex(
@"
^[a-zA-Z'.\s]{1,40}$
"
);Response.Write(reg.IsMatch(txtName.Text));
//
Static method:
if
(
!
Regex.IsMatch(txtName.Text,
@"
^[a-zA-Z'.\s]{1,40}$
"
)) 
{
// Name does not match expression
}
如果你不能把经常使用的正则表达式缓存起来,你应该使用IsMatch静态方法来改进性能防止不必要的对象创建过程.
验证数字字段
在大多数情况下,应该验证数字的输入和范围.使用服务器控件验证数字字段的输入和范围,使用RangeValidator控件.RangeValidator支持货币,日期,整型,双精度和字符串类型的数据.
使用RangeValidator控件需要设置需要验证的控件名(ControlToValidate),类型(Type),最小值(MinimumValue),最大值(MaximumValue),和出错提示信息(ErrorMessage)属性.下面是代码示例 :
<
asp:RangeValidator ID
=
"
RangeValidator1
"
Runat
=
"
server
"
ErrorMessage
=
"
Invalid range. Number must be between 0 and 255.
"
ControlToValidate
=
"
rangeInput
"
MaximumValue
=
"
255
"
MinimumValue
=
"
0
"
Type
=
"
Integer
"
/>
如果你没使用服务器控件,你可以将输入值转化成整型再进行验证来完成对数字的范围验证.例如,要验证一个整数是否合法,使用ASP.NET2.0提供的新方法Int32.TryParse将输入值转化为System.Int32的变量类型.这个方法会在转换失败时返回false.
Int32 i;
if
(Int32.TryParse(txtInput.Text,
out
i)
==
false
)
{ // Conversion failed}
如果你使用早先的ASP.NET版本,可以在try/catch语句块中 使用Int32.Parse或者Convert.ToInt32方法并可以在转换失败时处理抛出的FormatException错误.
下面的示例代码演示了如何验证来自HTML文本框的整数类型的类型和范围.
<%
@ Page Language
=
"
C#
"
%>
<
script runat
=
"
server
"
>
void
Page_Load(
object
sender, EventArgs e)
{ if (Request.RequestType == "POST")
{
int i; if (Int32.TryParse(Request.Form["integerTxt"], out i) == true) { // TryParse returns true if the conversion succeeds if ((0 <= i && i <= 255) == true) { Response.Write("Input data is valid.");
} else Response.Write("Input data is out of range"); } else Response.Write("Input data is not an integer"); } }
</
script
>
<
html
>
<
body
>
<
form id
=
"
form1
"
action
=
"
NumericInput.aspx
"
method
=
"
post
"
>
<
div
>
Enter an integer between
0
and
255
:
<
input name
=
"
integerTxt
"
type
=
"
text
"
/>
<
input name
=
"
Submit
"
type
=
"
submit
"
value
=
"
submit
"
/>
</
div
>
</
form
>
</
body
>
</
html
>
验证日期字段
你需要验证日期字段是否是正确的类型.在大多数情况下,你也需要验证它们的范围,如验证它们是否是将来或是过去的时间.如果你使用服务器控件来捕获一个日期输入值,同时你希望这个值在一个特定的范围内,你可以使用范围验证控件(RangeValidator)并设置它允许的类型为Date类型.这个控件允许你指定一个特殊的时间段通过设置起始的时刻.如果你需要以今天的时间作为参照来验证,比如验证一个时间是在将来还是过去,你可以使用CustomValidator验证控件.使用CustomValidator控件来验证一个日期需要设置ControlToValidate和ErrorMessage属性,在OnServerValidate事件中指定一个自定义的验证逻辑方法.下面是示例代码.
<%
@ Page Language
=
"
C#
"
%>
<
script runat
=
"
server
"
>
void
ValidateDateInFuture(
object
source, ServerValidateEventArgs args)
{ DateTime dt; // Check for valid date and that the date is in the future if ((DateTime.TryParse(args.Value, out dt) == false) || (dt <= DateTime.Today)) { args.IsValid = false; } }
</
script
>
<
html
>
<
body
>
<
form id
=
"
form1
"
runat
=
"
server
"
>
<
div
>
<
asp:Label ID
=
"
Label1
"
Runat
=
"
server
"
Text
=
"
Future Date:
"
></
asp:Label
>
<
asp:TextBox ID
=
"
futureDatetxt
"
Runat
=
"
server
"
></
asp:TextBox
>
<
asp:CustomValidator ID
=
"
CustomValidator1
"
Runat
=
"
server
"
ErrorMessage
=
"
Invalid date. Enter a date in the future.
"
ControlToValidate
=
"
futureDatetxt
"
OnServerValidate
=
"
ValidateDateInFuture
"
>
</
asp:CustomValidator
>
<
br
/>
<
asp:Button ID
=
"
submitBtn
"
Runat
=
"
server
"
Text
=
"
Submit
"
/>
</
div
>
</
form
>
</
body
>
</
html
>
注意 上面的代码使用的方法DateTime.TryParse是ASP.NET2.0提供的新方法.
过滤自由文本字段
过滤输入,你需要使不安全的输入不被当作代码来对待.例如,你的程序使用户不能读取共享数据库内的数据,你首先需要过滤数据使它们在输出的时候没有危险.使用HttpUtility.HtmlEncode方法先对输入值进行编码.
允许有限的输入HTML代码
- 在@ Page页面元素内加以下字段ValidateRequest = "false"禁用ASP.NET请求验证
- 使用HtmlEncode方法对输入的字符串进行编码
- 使用StringBuilder对象,调用它的Replace方法对字符中的HTML进行替换
下面的代码给出了这种办法的示例.此页面设置ValidateRequest = "fasle"禁用了ASP.NET请求验证.它的HTML编码为了显示简单的文本格式允许使用<b>和<i>标记.
<%
@ Page Language
=
"
C#
"
ValidateRequest
=
"
false
"
%>
<
script runat
=
"
server
"
>
void
submitBtn_Click(
object
sender, EventArgs e)
{ // Encode the string input StringBuilder sb = new StringBuilder( HttpUtility.HtmlEncode(htmlInputTxt.Text)); // Selectively allow and <i> sb.Replace("<b>", "<b>"); sb.Replace("</b>", ""); sb.Replace("<i>", "<i>"); sb.Replace("</i>", ""); Response.Write(sb.ToString()); }
</
script
>
<
html
>
<
body
>
<
form id
=
"
form1
"
runat
=
"
server
"
>
<
div
>
<
asp:TextBox ID
=
"
htmlInputTxt
"
Runat
=
"
server
"
TextMode
=
"
MultiLine
"
Width
=
"
318px
"
Height
=
"
168px
"
></
asp:TextBox
>
<
asp:Button ID
=
"
submitBtn
"
Runat
=
"
server
"
Text
=
"
Submit
"
OnClick
=
"
submitBtn_Click
"
/>
</
div
>
</
form
>
</
body
>
</
html
>
验证查询字串的值
验证查询字串的长度,范围,格式和类型.通常,你使用一个合并的正则表达式来完成以下任务:
void
Page_Load(
object
sender, EventArgs e)
{ if (!System.Text.RegularExpressions.Regex.IsMatch( Request.QueryString["Name"], @"^[a-zA-Z'.\s]{1,40}$")) Response.Write("Invalid name parameter"); else Response.Write("Name is " + Request.QueryString["Name"]);}
验证Cookie值
象查询字串这样被保存在Cookie里面的值很容易被用户修改.同样地验证这些值的长度,范围,格式和类型.
验证文件和URL地址
如果你的程序允许输入文件名,文件地址或者文件存放路径,你需要验证它们的格式是否正确并且根据你的程序实际情况它指向一个有效的位置.如果此步验证失败,你的程序可能会被错误地要求访问文件.
验证文件路径
为了避免你的程序被用户利用来访问文件,防止接受用户编写代码输入的文件或者文件路径.例如 :
使用MapPath方法防止跨应用程序的映射
如果你使用MapPath方法在服务器上映射一个提供的虚拟目录到一个物理目录,使用Request.MapPath方法的一个带bool参数的重载版本来防止跨应用程序的映射.下面是此项技术的示例代码 :
try
{ string mappedPath = Request.MapPath( inputPath.Text, Request.ApplicationPath, false);}
catch
(HttpException)
{ // Cross-application mapping attempted}
最终的false参数将会防止跨应用程序的映射.这意味着用户不允许使用".."这样的语法提供一个不在你所指定的虚拟目录里面的非法路径.
如果你使用服务器控件,你可以使用Control.MapPathSecure方法获取虚拟目录对应的实际目录地址.
Control.MapPathSecure方法在访问一个非授权的文件时抛出一个HttpException的异常.需要更多信息,请参看.NET Framework文档中的Control.MapPathSecure方法介绍.
使用代码访问安全机制限制文件输入输出
管理员可以通过设置程序使它的可信度为"中"来限制程序向它所在的虚拟目录读写文件的能力..NET代码安全机制可以保证程序在它所在的虚拟目录之外没有任何的文件访问权利.
要设置一个应用程序的信任度为"中",可以在Web.config或者Machine.config文件中加入:
<trust level = "Medium" />
验证URL
你可以用象下面的这样的正则表达式来对URL进行特征匹配.
^(?:http|https|ftp)://[a-zA-Z0-9\.\-]+(?:\:\d{1,5})?(?:[A-Za-z0-9\.\;\:\@\&\=\+\$\,\?/]|%u[0-9A-Fa-f]{4}|%[0-9A-Fa-f]{2})*$
这只是约束输入的格式,不验证它是否在应用程序可接受的范围内.你应该验证它是否在你的程序的上下文中有效.例如,您的应用程序是否跟你指定的服务器进行通讯?