我正在为Web应用程序编写一个简单的日志浏览器。服务器列出所有日志文件,用户可以选择其中一个,服务器显示其内容。环境是ASP.NET MVC。
在URI中传递文件名是危险的 - 一个简单的技巧是使用CREATE TABLE Client
(numero int unsigned primary key AUTO_INCREMENT,
nom varchar(40) NOT NULL,
prenom varchar(40) NOT NULL,
email varchar(40) NOT NULL)
ENGINE =InnoDB;
显示配置文件以及所有密码。我显然需要保护脚本,以便它只允许访问特定文件。最简单的方法是检查传递的文件名是否包含序列"..\..\web.config"
或\
并拒绝此类查询。
我的问题是:这个解决方案足够安全吗?或者我应该选择完全不同的方法?
我建议的解决方案(讨论):
..
答案 0 :(得分:0)
您可以管理应用服务器的读/写权限或通过连接到DB的接口与客户端通信,您可以接受ID作为参数并获取服务器上的路径。