-3
我发现文档谈论“评估和演示是邪恶的”,我的理解是有性能问题,甚至MSDN说明它:评估安全性?
因为这种方法进行后期绑定的评价,使用反射 在运行时,它可能会导致性能相比 标准ASP.NET数据绑定语法明显慢 - MSDN
出了性能问题下面的代码,并考虑:
<%# Eval("MyDataFieldFromDataBase") %>
可以做些什么来防止字段被危险地解释(以防止代码注入)?
Q
评估安全性?
A
回答
1
我相信你在谈论一些不同的Eval,而不是ASP.NET的。在aspx中的Eval只是一个method,它和其他方法一样有害。
它的一个潜在问题是,Eval返回一个对象,所以如果你的代码没有期待这个特定的类型,你可以得到无效的转换异常。因此,您在页面上使用Eval时没有类型安全性。另一件事是Eval不会做任何类型的转义,所以如果你的数据库中有潜在危险的内容,它将被Eval返回。但是这不是特定于Eval的问题,您只需确保您清理所有用户输入,Eval就无关紧要。
除此之外ASP.NET的Eval是完全无害的。
相关问题
- 1. .NET CLR何时评估安全属性?
- 2. Grails自定义安全评估程序
- 3. 安全地评估简单的数学
- 4. 与`seq`相比``评估'安全吗?
- 5. 评估用户代码的安全性问题是什么?
- 6. 弹簧安全性自定义权限评估器抛出ClassCastException
- 7. 使用eval进行表达式评估安全性如何?
- 8. 评估安装SQL Server的性能
- 9. 评估“值”属性
- 10. 评估BLASTn评分的重要性?
- 11. PHP安全性:评估用户输入的字符串的风险
- 12. 评估DOM操作性能
- 13. 评估动态属性
- 14. 变量的惰性评估
- 15. 重新评估ModelState.IsValid属性
- 16. POI公式评估性能
- 17. 龙卷风性能评估
- 18. 非平凡惰性评估
- 19. 评估类的可分性
- 20. 如何评估CUDA性能?
- 21. 评估设计时,您如何评估复杂性?
- 22. 评估表达式通用C#评估条件多态性
- 23. 哪些语言具有现成的安全评估环境?
- 24. 项目管理期间的安全评估
- 25. 在if语句中依赖条件评估顺序安全吗?
- 26. 在Python安全评估字符串调用hashlib
- 27. 安全评估用户定义的计算
- 28. JS中的函数动态评估(这是安全的吗?)
- 29. 如何安全评估用户输入表达式
- 30. jQuery会安全评估对HTTP POST的JSON响应吗?
您还没有明确表示“hack”是什么意思。 – mason
使eval做任何事情比显示'Foo.MyDataFieldFromDatabase'的值。 –
为什么?你想达到什么目的? – mason