Arquivos da categoria: Segurança

Removedor de injeção de SQL

Olá pessoal.

Segue um simples código para remover uma possível injeção de SQL.

O código simplesmente substitui o que é considerado perigo por vazio. O legal é o uso do método Replace da classe Regex (expressões regulares) que ignora o case não momento da substutição dos valores.

using System.Text.RegularExpressions;


public static string RemoveInjecao(string texto)
{
	string[] caracteresInvalidos1 = { "select ", "drop ", "--", "insert ", "delete ", "xp_", "'", "%", "update ", "group by ", "having ", @"sum(", @"count(", "alter table", " – ", "–", " –", "– ", "varchar", "declare", @"cast(", @"exec(" };

	for (int i = 1; i < caracteresInvalidos1.Length; i++)
	{
		//replace que ignora o case (maiúsculo/minúsculo)
		texto = Regex.Replace(texto, caracteresInvalidos1[i], "", RegexOptions.IgnoreCase); 
	}	
	return texto.Trim();
}

Fica a dica!

Segurança em aplicações ASP.NET

Pessoal.

O link abaixo é para um artigo da Microsoft que dá dicas de como proteger seus aplicativos ASP.NET contra ataques de XSS usando validação de entrada e codificação de saída apropriadas. Ele também descreve vários outros mecanismos de proteção que podem ser usados, além dessas duas medidas importantes.

http://msdn.microsoft.com/library/ms998274.aspx

E a Microsoft disponibiliza uma DLL chamada “Microsoft Anti-Cross Site Scripting Library V4.0” que fornece meios para validar a entrada de dados em aplicação ASP.NET.

http://www.microsoft.com/download/en/details.aspx?id=5242

Até mais…