在ASP.NET中防止注入攻击[翻译]

// Instance method:
Regex reg = new Regex(@"^[a-zA-Z'.\s]{1,40}$");
Response.Write(reg.IsMatch(txtName.Text));

// Static method:
if (!Regex.IsMatch(txtName.Text,@"^[a-zA-Z'.\s]{1,40}$"))
{
  // Name does not match expression
}

如果你不能把经常使用的正则表达式缓存起来,你应该使用IsMatch静态方法来改进性能防止不必要的对象创建过程.

验证数字字段

在大多数情况下,应该验证数字的输入和范围.使用服务器控件验证数字字段的输入和范围,使用RangeValidator控件.RangeValidator支持货币,日期,整型,双精度和字符串类型的数据.

使用RangeValidator控件需要设置需要验证的控件名(ControlToValidate),类型（Type),最小值(MinimumValue),最大值(MaximumValue),和出错提示信息（ErrorMessage)属性．下面是代码示例 :

<asp:RangeValidator
       ID="RangeValidator1"
       Runat="server"
       ErrorMessage="Invalid range. Number must be between 0 and 255."
       ControlToValidate="rangeInput"
       MaximumValue="255"
       MinimumValue="0" Type="Integer" />
 

如果你没使用服务器控件，你可以将输入值转化成整型再进行验证来完成对数字的范围验证．例如，要验证一个整数是否合法，使用ASP.NET2.0提供的新方法Int32.TryParse将输入值转化为System.Int32的变量类型.这个方法会在转换失败时返回false.

Int32 i;
if (Int32.TryParse(txtInput.Text, out i) == false)
{
  // Conversion failed
}

如果你使用早先的ASP.NET版本,可以在try/catch语句块中 使用Int32.Parse或者Convert.ToInt32方法并可以在转换失败时处理抛出的FormatException错误.

下面的示例代码演示了如何验证来自HTML文本框的整数类型的类型和范围.

<%@ Page Language="C#" %>

<script runat="server">

  void Page_Load(object sender, EventArgs e)
  {
    if (Request.RequestType == "POST")
    {
      int i;
      if (Int32.TryParse(Request.Form["integerTxt"], out i) == true)
      {
        // TryParse returns true if the conversion succeeds
        if ((0 <= i && i <= 255) == true)
        {
          Response.Write("Input data is valid.");
        }
        else
          Response.Write("Input data is out of range");

上一页 [1] [2] [3] [4] [5] [6] [7] [8] 下一页

复制本页网址和标题，发送给你QQ/Msn的好友一起分享

上一篇:ASP.NET性能最佳实践

下一篇:调用存储过程并且使用返回值的基本方法