将文件名作为URI参数传递 - 如何保护?

时间:2017-09-19 10:01:02

标签: asp.net security model-view-controller

我正在为Web应用程序编写一个简单的日志浏览器。服务器列出所有日志文件,用户可以选择其中一个,服务器显示其内容。环境是ASP.NET MVC。

在URI中传递文件名是危险的 - 一个简单的技巧是使用CREATE TABLE Client (numero int unsigned primary key AUTO_INCREMENT, nom varchar(40) NOT NULL, prenom varchar(40) NOT NULL, email varchar(40) NOT NULL) ENGINE =InnoDB; 显示配置文件以及所有密码。我显然需要保护脚本,以便它只允许访问特定文件。最简单的方法是检查传递的文件名是否包含序列"..\..\web.config"\并拒绝此类查询。

我的问题是:这个解决方案足够安全吗?或者我应该选择完全不同的方法?

我建议的解决方案(讨论):

..

1 个答案:

答案 0 :(得分:0)

您可以管理应用服务器的读/写权限或通过连接到DB的接口与客户端通信,您可以接受ID作为参数并获取服务器上的路径。