none
Seguridad - como limpiar entradas en c# asp.net RRS feed

  • Pregunta

  • Hola, cuan es el procedimiento o funcion para limpiar lo ingresado por ejemplo en un textbox, por ejemplo en php existe la funcion htmlspecialchars(), cual seria la equivalente en c#asp.net?

    Saludos

    miércoles, 4 de septiembre de 2019 13:18

Respuestas

  • El equivalente en ASP.NET es Server.HtmlEncode(...).

    PERO: Ten presente que, de forma predeterminada, ASP.NET por razones de seguridad (proteccion contra inyecciones de script) directamente rechaza la peticion y da un error si el usuario introduce alguno de los codigos prohibidos. Por lo tanto, nunca llega a ejecutarse tu codigo y no tienes oportunidad de aplicar el Server.HtmlEncode. Esta funcionalidad (bloqueo automatico de la peticion) se puede deshabilitar, pero en ese caso tienes que ser super-cuidadoso filtrando las peticiones de los usuarios para no tener vulnerabilidades de inyecciones de codigo.


    miércoles, 4 de septiembre de 2019 13:43

Todas las respuestas

  • El equivalente en ASP.NET es Server.HtmlEncode(...).

    PERO: Ten presente que, de forma predeterminada, ASP.NET por razones de seguridad (proteccion contra inyecciones de script) directamente rechaza la peticion y da un error si el usuario introduce alguno de los codigos prohibidos. Por lo tanto, nunca llega a ejecutarse tu codigo y no tienes oportunidad de aplicar el Server.HtmlEncode. Esta funcionalidad (bloqueo automatico de la peticion) se puede deshabilitar, pero en ese caso tienes que ser super-cuidadoso filtrando las peticiones de los usuarios para no tener vulnerabilidades de inyecciones de codigo.


    miércoles, 4 de septiembre de 2019 13:43
  • hola

    >>procedimiento o funcion para limpiar lo ingresado

    a que llamas limpiar ? no tiene mucha relacion lo que describes con el codigo que haces referencia

    porque si es quitar contenido lo puedes hacer en codigo servidor

        public void button1_click(...){
    
            TextBox1.Text = "";
    
        }


    asi quitas el contenido pero es codigo c# en el servidor

    saludos


    Leandro Tuttini

    Blog
    MVP Profile
    Buenos Aires
    Argentina

    miércoles, 4 de septiembre de 2019 13:48
  • Leandro

    Como el encabezado lo comence con  "Seguridad" supuse que se entendia por "limpiar", a sanitizar las entradas o lo ingresado por el usuario para evitar codigo malicioso. 

    Gracias Alberto por tu respuesta

    miércoles, 4 de septiembre de 2019 19:17