Asp Net网站安全

1：SQL 注入：
解决方案：
a. 这个问题主要是由于传入特殊字符引起的我们可以在对输入的用户名密码进入过滤特殊字符处理。
b. 使用存储过程通过传入参数的方法可解决此类问题（注意：在存储过程中不可使用拼接实现，不然和没用存储过和是一样的）。
2. XSS（跨站脚本攻击）：
解决方案：
　　a. 通过在 Page 指令或 配置节中设置 validateRequest="false" 禁用请求验证，然后我们对用户提交的数据进行 HtmlEncode，编码后的就不会出现这种问题了（ASP.NET 中编码方法：Server.HtmlEncode(string)）。
　　b. 第二种是过滤特殊字符，这种方法就不太提倡了，如果用户想输入小于号（<）也会被过滤掉
3.CSRF（跨站点请求伪造）：
解决方案：
　　修改信息时添加验证码或添加 Session 令牌（ASP.NET中已经提供一个自动防范的方法，就是用页面属性 ViewStateUserKey。在Page_Init方法中设置其值：this.ViewStateUserKey = Session.SessionID）。
4. 文件上传：
解决方案：
在用户登录时加入是否可上传文件的 Session 标志。其实 Fckeditor 已经写好了。直接把验证函数 CheckAuthentication() 中的注释段中CheckAuthentication()
return ( Session[ "IsAuthorized" ] != null && (bool)Session[ "IsAuthorized" ] == true );
 
　　注释去掉。在登录成功加入登录成功 JS 代码
Session[“IsAuthorized”] = true;
１：SQL 注入
      引起原因：
      其实现在很多网站中都存在这种问题。就是程序中直接进行SQL语句拼接。可能有些读者不太明白。下面通过一个登录时对用户验证来说明：
code:
     验证时的sql语句: select * from where user='"+txtUsername.Text+"' and pwd='"+txtPwd.Text+"'
这是一段从数据库中查询用户，对用户名，密码验证。
看上去好象没有什么问题，但是实际这里面浅藏着问题，用户名：admin 密码： admin，
select * from where user='admin' and pwd='admin'
如果用户和密码正确就可通验证。如果我用户名：asdf' or 1=1 -- 密码：随意输入.
我们再来看语句：
select * from where user=‘asdf' or 1=1 -- and pwd=''
执行后看到什么？是不是所有记录，如果程序只是简单判断返回的条数，这种方法就可以通验证。