-
23-09-2019 - |
题
这里有一些通常所知的做法对于确保一视应用程序:
- 编码输出
- 参数化SQL
- 测试你的搜索向后和向前
- 1向散列的密码
- 锁定帐户或限制登录尝试
- 使用代码基于模拟当文件系统访问
- 访问SQL锁定下来的用户名
- 使用蜂蜜罐或验证码形式提交给反机器人
如果有任何我漏或误报,请随时作出贡献。
什么其他技术/最佳做法使用,或认为有关当笔测试自己的软件。你做什么"踢轮胎"之前应用中的生活。
什么笔测试服务或软件的使用如果有的话?
解决方案
所有的方法,使用modelbinding应确保与白名单或黑名单上的可绑定的属性。
string[] allowedProperties = new[]{ "Title", "Description"};
UpdateModel(myObject, allowedProperties);
或
[AcceptVerbs(HttpVerbs.Post)]
public ActionResult Create([Bind(Include="Title,Description")] MyObject object )
{
}
这当然是要防止造请求,尝试更新/操纵你的对象的方式,不是目的。
其他提示
您所有的建议适用于任何网应用程序,而不仅仅是软应用程序。
一个视具体建议,将东西像"瘦控制器、脂肪模型"。
不隶属于 StackOverflow