.NET'te XPath/XML enjeksiyonu nasıl önlenir

Question

.NET Framework'te XPATH enjeksiyonunu nasıl önleyebilirim?

Daha önce XPATH ifadeleri oluşturmak için dize birleştirme kullanıyorduk, ancak son kullanıcıların bazı isteğe bağlı XPATH çalıştırabildiğini gördük. Örneğin:

string queryValue = "pages[@url='" + USER_INPUT_VALUE + "']"; 
node = doc.DocumentElement.SelectSingleNode(queryValue); 

o giriş dizeleri tek ve çift tırnak atmak için yeterli olur mu?

Veya, .NET framework parametreli XPATH sorgularını destekliyor mu?

Answer 1

bir XPath enjeksiyon önlenmesinde ana fikri, değerlendirme işlemi sırasında, kullanıcı tarafından girilen değerleri ile ikame edilecek olan, içinde kullanımı ve değişkenler (parametreleri) izin vermek istediğiniz XPath ifade önceden hazırlanması için olup. .NET yılında

:

1. XPath Expresion XPathExpression.Compile() ile önceden derlenmiş var. XPathExpression.SetContext() Yöntem

2. Kullanım bağlam olarak kullanıcı tarafından girilen değerlere bazı özel değişkenleri gideren XsltContext nesneyi belirtmek için.

Sen değişkenleri here içeren bir XPath ifadesini değerlendirmek konusunda daha fazla bilgi edinebilirsiniz.

Bu metin, güzel ve eksiksiz örnekler içermektedir.

Answer 2

Tam yazılmış XsltTransform'u kullanırsanız, güçlü bir şekilde yazılan parametreler kullanılabilir.

Answer 3

Çok yazılan parametreler yerine, kullanıcı seçeneklerini azaltabilirsiniz. Eğer istemiyorsan onlara neden tam kontrol verirsin?

Kullanıcıya seçim yapmak için birkaç seçenek sunun ve sonra sorguyu oluşturun.

Kullanıcının herhangi bir dizeye girmesine izin vermek, sorun veya çok iş istemektir.

Answer 4

Eğer XPath işlemciniz olarak Saxon kullanıyorsanız, parametreli XPath mümkündür.