在ASP.Net防止 SQL Injection和參數篡改

看到保哥貼了 Hacking is child's play ，就算有參數化SQL指令，但使用者輸入資料（例如討論區等）還是很難防，所以小小做個筆記。

今年的MSDN Magazine有一篇保護 ASP.NET 應用程式的安全，裡頭就提到AntiXSS，其實AntiXSS是Microsoft Web Protection Library的一部份。

原本AntiXSS包含了Sanitizer 物件，在4.x後分成兩個DLL，但是目前微軟網站的Microsoft Anti-Cross Site Scripting Library V4.2並未包含Sanitizer 進去，因此必須自己下載Source Code編譯。

我編好後，把HtmlSanitizationLibrary.dll 加到專案，就有Sanitizer可用；另一方面編譯出來的AntiXSSLibrary.dll 是4.1.0版，下載的AntiXSSLibrary.dll 是4.2.0版，所以我沿用官方版。

這樣一來，只要在 .cs 加上 using Microsoft.Security.Application; 就可以用 string cleanData = Sanitizer.GetSafeHtmlFragment(wysiwygData); 把一些script或編碼資料去除。

同時也可以在 web.conf裡的 <system.web>區塊加上

 <httpRuntime encoderType=   "Microsoft.Security.Application.AntiXssEncoder, AntiXssLibrary"/>

，改用較安全版本。
因為這個屬性只能出現一次，所以像我有加大Request的，就必須寫成一行

 <httpRuntime maxRequestLength="2097151" encoderType=   "Microsoft.Security.Application.AntiXssEncoder, AntiXssLibrary"/>