【发布时间】:2009-05-06 21:53:18
【问题描述】:
我在编写内部 Intranet 应用程序方面拥有丰富的经验,但在编写面向公众的 Web 应用程序方面却很少,因为这可能会有一定比例的人会尝试并且是恶意的。
该应用是用 MVC.net、JQuery 和 Subsonic 编写的。
我可以采取哪些步骤来规划我的应用程序,以使其合理规划?
我已经做了一些事情:
- 服务器端和客户端的表单验证
- 强制密码复杂性
- 签入当前用户可以执行该操作的控制器操作。
对于查看我的表单的 html 源代码并查看表单发布的内容并使用它手动创建具有不同值的表单帖子来执行他们不应该执行的操作的人,我一直非常偏执。这种妄想症是否有根据?我需要对使用 HttpVerb GET 和 POST 或仅 GET 的操作执行此操作吗?
我是否需要担心 ORM 的 SQL 注入?
【问题讨论】:
标签: jquery asp.net-mvc security subsonic