写给ASP.NET程序员：网站中的安全问题

做项目也有一段时间了，在程序中也遇到很多安全方面的问题。也该总结一下了。这个项目是一个 CMS 系统。系统是用 ASP.NET 做的。开发的时候发现微软做了很多安全措施，只是有些新手程序员不知道怎么开启。下面我通过几个方面简单介绍：
　　1：SQL 注入
　　2：XSS
　　3：CSRF
　　4：文件上传
SQL 注入
　　引起原因：其实现在很多网站中都存在这种问题。就是程序中直接进行 SQL 语句拼接。可能有些读者不太明白。下面通过一个登录时对用户验证来说明：
　　验证时的 SQL 语句：
登录验证 SQL 语句(原始)
Select * from Where user = '" + txtUsername.Text + "' AND pwd = '" + txtPwd.Text + "'
　　这是一段从数据库中查询用户，对用户名，密码验证。
　　看上去好象没有什么问题，但是实际这里面浅藏着问题，用户名：admin   密码：admin
登录验证 SQL 语句(真实)
Select * from Where user = 'admin' AND pwd = 'admin'
　　如果用户和密码正确就可通验证。如果我用户名：asdf' OR 1 = 1 -- 密码：随意输入.
　　我们再来看语句：
登录验证 SQL 语句(注入)
Select * from Where user = 'asdf' OR 1 = 1 -- and pwd=''
　　执行后看到什么？是不是所有记录，如果程序只是简单判断返回的条数，这种方法就可以通验证。
　　如果执行语句是 SA 用户，再通过 xp_cmdshell 添加系统管理员，那么这个服务器就被拿下了。
　　解决方法：
　　a. 这个问题主要是由于传入特殊字符引起的我们可以在对输入的用户名密码进入过滤特殊字符处理。
　　b. 使用存储过程通过传入参数的方法可解决此类问题（注意：在存储过程中不可使用拼接实现，不然和没用存储过和是一样的）。
XSS（跨站脚本攻击）
　　引起原因：这个也有时被人们称作 HTML 注入，和 SQL 注入原理相似，也是没有特殊字符进行处理。是用户可以提交 HTML 标签对网站进行重新的构造。其实在默认的情况下在 ASP.NET 网页中是开启 validateRequest 属性的，所有 HTML 标签后会.NET都会验证：
 
　　但这样直接把异常抛给用户，多少用户体验就不好。
　　解决方法：
　　a. 通过在 Page 指令或 配置节中设置 validateRequest="fa