我正在使用memebership.validateuser函数来验证Asp.net MVC 3中的用户,但我发现它不足以安全地进行SQL注入。
该方法采用两个参数usernme和password,然后服务从存储在其memebership表中的值检查它,该表使用salt加密。
我们能否拥有另一个menthod到这个功能,比会员或Asp.net会员资格更安全,有效的用户服务足够安全,我应该坚持下去?
答案 0 :(得分:1)
为什么不创建一个方法来清理输入的用户名和/或密码,然后再将它们传递给membership.validateuser,而不是创建一个基本上执行membership.validateuser已经在做的新方法?
LINQ to SQL和Entity Framework生成参数化SQL,因此可以防止SQL注入开箱即用。
回答你的上一个问题:坚持下去。 :)