Al construir una aplicación en la que se obtiene acceso a datos, debe presuponer todos los datos proporcionados por el usuario como malintencionados, a no ser que se demuestre lo contrario. De no ser así, la aplicación puede estar expuesta a ataques. .NET Framework contiene clases que ayudan a imponer un dominio de valores para los controles de información introducida por el usuario, como la limitación del número de caracteres que se pueden introducir, y proporciona enlaces de eventos para escribir código a fin de comprobar la validez de los valores. Se pueden validar los datos y pueden tener establecimiento inflexible de tipos, como se describe en Asignar los tipos de datos del proveedor de datos de .NET Framework para los tipos de datos de .NET Framework. Además, .NET Framework contiene clases que le ayudan a evaluar los datos de cadenas en los controles de información introducida por el usuario.
Utilizar expresiones regulares
La clase Regex se puede utilizar para comprobar la validez de los datos proporcionados por el usuario en las aplicaciones mediante la validación de dichos datos con respecto a un determinado modelo. El código puede además utilizar expresiones regulares para transformar texto no válido en válido. El método CleanInput definido aquí toma una cadena de datos proporcionados y elimina todos los caracteres que no sean alfanuméricos excepto los siguientes:
Function CleanInput(strIn As String) As String
' Replace invalid characters with empty strings.
Return Regex.Replace(strIn, "[^\w\.@-]", "")
End Function
String CleanInput(string strIn)
{
// Replace invalid characters with empty strings.
return Regex.Replace(strIn, @"[^\w\.@-]", "");
}
.NET Framework Regular Expressions contiene vínculos a ejemplos adicionales en los que se muestra el uso de la clase Regex para validar datos proporcionados por el usuario.
Controles de validación de ASP.NET
Un aspecto importante de la creación de aplicaciones ASP.NET seguras es la posibilidad de validar la información proporcionada por los usuarios en un formulario. ASP.NET cuenta con controles de validación que proporcionan una forma eficaz y fácil de usar para comprobar errores y, si es necesario, mostrar mensajes al usuario. Puede encontrar vínculos a los temas relacionados con el control de validación en Validar la información especificada por el usuario en páginas Web ASP.NET y Controles de validación.
Validar datos proporcionados por el usuario en procedimientos almacenados de SQL Server
La validación de datos proporcionados por el usuario en el código de cliente es importante para no realizar viajes innecesarios de ida y vuelta al servidor. Igualmente importante es la validación de parámetros de procedimientos almacenados en el servidor a fin de detectar datos no válidos proporcionados por el usuario que la validación en el cliente no detecta. En el caso de SQL Server 2000, vea "Validating User Input" (validar los datos proporcionados por el usuario), "Specifying Parameters" (especificar parámetros), "Stored Procedures" (procedimientos almacenados) y "CREATE PROCEDURE" (crear procedimiento) en los Libros en pantalla de SQL Server 2000. En el caso de SQL Server 2005, vea "Stored Procedures (Database Engine)" (procedimientos almacenados, motor de base de datos) y los temas relacionados en los Libros en pantalla de SQL Server 2005.
Vea también