我正在使用一个类来检查应用程序中的某些单词以防止 SQL 注入(inject)。
在类中,有一个 for 循环尝试将特定单词与黑名单中的单词进行匹配。 如果有匹配,我必须重定向到系统的错误页面。
但是,当找到匹配项并尝试重定向时,我不断收到错误“无法计算表达式。”
这是代码:
Private Sub CheckInput(ByVal parameter As String)
Try
Dim errorPage As String = "error_page.aspx?Injection=" & parameter
For i As Integer = 0 To blackList.Length - 1
If (parameter.IndexOf(blackList(i), StringComparison.OrdinalIgnoreCase) >= 0) Then
'Handle the discovery of suspicious Sql characters here
'generic error page on your site
HttpContext.Current.Response.Redirect(errorPage)
End If
Next
Catch ex As Exception
Throw ex
End Try
一旦 Try block 捕获错误,它就会继续给出错误,并且不会重定向到错误页面。
有什么想法吗?
最佳答案
“无法计算表达式”来自 Visual Studio 调试器,当它看到 ThreadAbortException thrown by Response.Redirect 时。如果没有附加调试器,您的代码将按预期工作。
You can pass false to prevent the current request being ended (这就是 ThreadAbortException 的用途)。然后,您有责任优雅地“结束”请求。
FWIW,您还应该删除 try/catch,因为它正在提供 no useful purpose other than hiding any exceptions 。而且,如前所述,SQL 参数是防止注入(inject)的方法 - 而不是白名单。
关于asp.net - 无法评估表达式,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10302914/