如何在使用WriteElementString时避免XML注入
本文关键字:XML 注入 WriteElementString | 更新日期: 2023-09-27 18:13:29
我有以下代码并抛出XML注入(请参阅高亮显示的文本)。可以有人让我知道如何可以删除
private string GetRecordSet(OleDbDataReader oDR)
{
XmlTextWriter xTWriter = null;
StringWriter oSWriter = null;
int iRecCnt=0;
string sName = String.Empty;
string sValue = String.Empty;
try
{
//Create Out XML
oSWriter = new StringWriter();
xTWriter = new XmlTextWriter(oSWriter);
xTWriter.Formatting = Formatting.Indented;
xTWriter.WriteStartElement("SESSION");
while(oDR.Read())
{
iRecCnt++;
sName = oDR.GetValue(0).ToString();
sValue = oDR.GetValue(1).ToString();
**xTWriter.WriteElementString(sName, sValue);**
}
xTWriter.WriteElementString("TotalRecords", iRecCnt.ToString());
xTWriter.WriteEndElement(); //ROWSET END
//Return XML string. If no records found then return empty string
string sRtrn = oSWriter.ToString();
if (iRecCnt == 0) sRtrn = string.Empty;
return sRtrn;
}
您没有以任何方式对输入进行消毒。它是XML可注入的,因为XML元字符可用于将代码更改为非预期的行为。元字符的例子:单引号、双引号、<、>——任何在你的代码中出现的东西,都可能导致代码写出意想不到的xml元素或属性。