.NET 應用程式安全性指南

2024-06-09碼農

在開發.NET應用程式時，安全性是一個至關重要的考慮因素。從保護使用者數據到防止惡意攻擊，每個應用程式都需要實施一系列的安全措施。本文將介紹一些關鍵的.NET應用程式安全性最佳實踐，並提供相應的例子程式碼來幫助讀者更好地理解如何套用這些實踐。

1. 輸入驗證和清理

重要性 ：惡意使用者可能試圖透過輸入惡意數據來攻擊您的應用程式。因此，對輸入進行驗證和清理是防止SQL註入、跨站指令碼（XSS）等攻擊的第一步。

例子：使用正規表式來驗證使用者輸入是否符合預期的格式，或者使用ASP.NET內建的驗證控制項。

// 假設有一個使用者名稱輸入欄位 string userName = Request.Form["userName"]; // 使用正規表式驗證使用者名稱是否只包含字母、數位和底線 bool isValid = Regex.IsMatch(userName, @"^[a-zA-Z0-9_]+$"); if (!isValid) { // 使用者名稱無效，丟擲異常或顯示錯誤資訊 } // 對於儲存或顯示前，清理HTML標簽以防止XSS攻擊 userName = HttpUtility.HtmlEncode(userName);

2. 使用參數化查詢或ORM來防止SQL註入

重要性 ：SQL註入是一種常見的攻擊方式，攻擊者透過構造惡意的SQL語句來嘗試讀取、修改或刪除資料庫中的數據。

例子：使用ADO.NET的參數化查詢或Entity Framework等ORM框架來防止SQL註入。

// 使用ADO.NET的參數化查詢 string connectionString = "YourConnectionString"; string query = "SELECT * FROM Users WHERE Username = @Username"; using (SqlConnection connection = new SqlConnection(connectionString)) { SqlCommand command = new SqlCommand(query, connection); command.Parameters.AddWithValue("@Username", userName); // 執行查詢... } // 使用Entity Framework等ORM框架 var user = dbContext.Users.FirstOrDefault(u => u.Username == userName);

3. 加密敏感數據

重要性 ：保護使用者密碼、信用卡資訊等敏感數據對於維護使用者信任和防止數據泄露至關重要。

例子：使用哈希演算法（如SHA-256）和密碼鹽（salt）來儲存密碼，使用加密演算法（如AES）來加密儲存在資料庫或傳輸中的數據。

// 使用哈希演算法和密碼鹽來儲存密碼 string password = "userPassword"; string salt = GenerateRandomSalt(); // 假設這是一個生成隨機鹽的函式 string hashedPassword = HashPassword(password, salt); // 假設這是一個哈希密碼的函式 // 儲存hashedPassword和salt到資料庫 // 使用加密演算法來加密數據 string dataToEncrypt = "SensitiveData"; string encryptionKey = "YourEncryptionKey"; // 金鑰應妥善保管 byte[] encryptedData = EncryptData(dataToEncrypt, encryptionKey); // 假設這是一個加密數據的函式 // 儲存encryptedData到資料庫或傳輸