Exportieren (0) Drucken
Alle erweitern

Überprüfen von Benutzereingaben

.NET Framework 2.0

Beim Erstellen einer Anwendung mit Datenzugriff müssen Sie davon ausgehen, dass es sich bei Benutzereingaben – solange nichts Gegenteiliges bewiesen ist – um bösartige Eingaben handeln kann. Wird dies unterlassen, kann dies Ihre Anwendung gefährden. In .NET Framework gibt es Klassen, mit deren Hilfe Sie einen Wertebereich für Eingabekontrollen zwingend festlegen können, um beispielsweise die Anzahl der Buchstaben, die eingegeben werden können, zu beschränken. Außerdem werden Ereignishooks bereitgestellt, um die Gültigkeit der Werte zu überprüfen. Daten können validiert werden und eine strikte Typbindung aufweisen, wie dies in Zuordnen der Datentypen von .NET Framework-Datenanbietern zu .NET Framework-Datentypen dargelegt wird. Weiterhin sind in .NET Framework Klassen enthalten, die bei der Auswertung von Zeichenfolgendaten aus Eingabekontrollen hilfreich sind.

Verwenden regulärer Ausdrücke

Mithilfe der Regex-Klasse kann die Gültigkeit von Benutzereingaben in den Anwendungen überprüft werden, indem die Benutzereingaben mit einem bestimmten Muster abgeglichen werden. Außerdem kann Code unter Verwendung regulärer Ausdrücke ungültigen Text in gültigen Text umwandeln. Die hier definierte CleanInput-Methode akzeptiert eine Eingabezeichenfolge und entfernt alle nicht alphanumerischen Zeichen mit Ausnahme der folgenden:

@
-
.
String CleanInput(string strIn)
{
    // Replace invalid characters with empty strings.
    return Regex.Replace(strIn, @"[^\w\.@-]", ""); 
}

Reguläre Ausdrücke von .NET Framework weist Verknüpfungen zu weiteren Beispielen auf, die die Verwendung der Regex-Klasse zum Überprüfen von Benutzereingaben veranschaulichen.

ASP.NET-Validierungssteuerelemente

Ein wichtiger Aspekt bei der Erstellung von sicheren ASP.NET-Anwendungen besteht darin, dass es möglich sein muss, die vom Benutzer in einem Formular eingegeben Informationen auf ihre Gültigkeit zu überprüfen. ASP.NET verfügt über Validierungssteuerelemente, die eine benutzerfreundliche und leistungsstarke Methode bieten, eine Fehlerüberprüfung durchzuführen und ggf. dem Benutzer Fehlermeldungen anzuzeigen. Sie können Links zu Themen mit Bezug auf Validierungssteuerelemente in Überprüfen der Benutzereingabe in ASP.NET-Webseiten und Validierungssteuerelemente finden.

Überprüfen von Benutzereingaben in gespeicherten SQL Server-Prozeduren

Das Überprüfen von Benutzereingaben im Clientcode ist wichtig, damit Sie nicht unnötig Roundtrips zum Server vornehmen. Es ist gleichermaßen wichtig, die Parameter anhand der gespeicherten Prozeduren auf dem Server zu validieren, um ungültige Eingaben abzufangen, die bei der clientseitigen Validierung nicht entdeckt wurden. Informationen zu SQL Server 2000 finden Sie in "Validating User Input", "Specifying Parameters", "Stored Procedures" und "CREATE PROCEDURE" in der Onlinedokumentation zu SQL Server 2000 (nur auf Englisch verfügbar). Informationen zu SQL Server 2005 finden Sie in "Stored Procedures (Database Engine)" und untergeordneten Themen in der SQL Server 2005-Onlinedokumentation (nur auf Englisch verfügbar).

Siehe auch

Anzeigen:
© 2015 Microsoft