"Potentially dangerous Request.Form value..." Hatası için Çözümler

-
Eğer;
Server Error in '/' Application ... A potentially dangerous Request.Form value was detected...
hatası ile karşılaşıyorsanız bunun sebebi kullandığınız HTML bileşenlerinden yine html kodu girilmeye çalışılmasıdır. Bu gerçekten ciddi bir potansiyel tehlikedir. Çünkü html inputlar kullanılarak javascriplertler çalıştırılabilir. Böylece virüslü sitelere yönlendir,veritabanı kullanıyorsanuz Sql injection riskiyle karşı karşıya kalabilirsiniz.

Çoğunlukla bu hatayı almanıza ' (tırnak) işareti sebep olur. Bu hatayı engelleminin bir yöntemi tırnak işaretin html kodu eşitini yazmaktır. Bunun için metniniz içerisinde bulunan tırnak işaretlerini replace edebilirisiniz.

    txtTextBox1.Text=mystr.Replace("'","'");

Local makinanızda çalışıyorsanız veya güvenilir çalışanlardan oluşan bir intranette çalışıyorsanız size bir yöntem daha tavsiye edebilirim. Bu yöntemde sayfanın güvenlik kontrol yapmasını engelleyeceğiz. Bunun için Asp.Net sayfanızın "Page" direktifine :

    ValidateRequest="false"
Yazmanız yeterli olacaktır. Yani şu şekilde görünmelidir:
    <%@ Page Language="C#" AutoEventWireup="false" Codebehind="Form.aspx.cs" Inherits="Proje.Form" ValidateRequest="false"%>

Eğer kontrolü bütün sayfalarda kaldırmak istiyorsanız bunun için web.config dosyasına ufak bir ekleme yapmak yeterli olacaktır.
    <system.web>
        <Pages ValidateRequest="false" />
    </system.web>

Bu yöntemler dışında son bir tavsiyemde bütün input değerlerini htmldeki kod karşılıklarına çevirmektir. Örneğin < işaretini &lt;'ye çevirir. Bunun için aşağıdaki .NET fonksiyonu kullanılabilirsiniz:
    MyLabel.Text = HttpUtility.HtmlEncode(MyTextBox.Text);

Yorumlar

  1. mehmet23 Nisan 2009 22:28

    çok teşekkür ederim. sayende yeni bir durum öğrendim. ValidateRequest="false" seçenegi tam admin ekranları için. veritabanına html taglarını yazabiliyorum artık.

    YanıtlaSil

Yorum Gönder

Bu blogdaki popüler yayınlar

ORA-06502: PL/SQL: sayısal veya değer hatası: karakter dizesi arabelleği çok küçük hatası ve çözümü

-
"ORA-06502: PL/SQL: sayısal veya değer hatası: karakter dizesi arabelleği çok küçük" hatası Oracle'da veri girilen kolona girilmek istenen değer uzun olduğunda veya veri tipi uyumsuzluğunda ortaya çıkmaktadır. Sizin veri girmek istediğiniz kolon boyutu 3 karakter ama siz 4 karakterlik bir metin girmeye çaışırsanız bu hata ile karşılaşırsınız. kolon varchar2(3); UPDATE example SET kolon = 'abcd' Sorunun diğer sebebi ise tip uyumsuzluğudur. kolon number; UPDATE example SET kolon = 'a' Çözüm Hatadan kaçınmak için değişken tipi ve kolon tipi aynı olmalıdır. v_kolon example.kolon%type Veri boyutu kolon boyutunu geçmemelidir Anahtar Kelimeler: ORA-0650, DB hata mesejları, Oracle
Devamı

Sık Kullanılan Regular Expression'lar

-
Resim
Önceki yazımda size Regular Expressionlar ve kullanımları hakkında bilgi vermeye çalıştım. Bu yazımda ise sıklıkla kullanılan bazı patternleri paylaşmak istiyorum. Regex'lerin kullanıcının girdiği verinin tutarlılığını sağlamakta çok önemli olduğunu belirtmek isterim. Ayrıca bir metin içerisinde bellirlenen bir şablona uyan kelimeleri seçmek içinde biçilmiş kaptandır. Örneğin; bir metin dosyası içerisindeki eposta adreslerini arıyorsanız eposta regex'ini kullanarak çok kolay bir biçimde bulabilirsiniz. Aynı örnekten devam etmek gerekirse kullanıcıdan eposta adresini girmesini istiyorsanız yine regexler işinizi görecektir. Böylece kullanıcı geçerli olmayan bir eposta adresini giremeyecektir. Buda hatayı en aza indirgeyip veri tutarlılığını arttıracaksınız demek oluyor. Sıklıkla Kullanıla...
Devamı

Açılış Sayfalarını web.config Üzerinden Ayarlama

-
Resim
Hazırladığınız web sitesinin açılış sayfasını, IIS ayarlarına hiç dalamadan dileğinizi gibi değiştirmek mi istiyorsunuz? bu yazı tam size göre. Normalde bir siteyi yayınlamaya başladığınızde ISS'te önceden tanımlanmış dosya adlarını arayarak sitenizi açmak ister. Mesela IIS 7.0'daki default file (varsıyalan belge) tanımları şöyledir: Default.htm Default.asp Index.htm Index.html Iisstart.htm ISS sitenizde yukarıdaki dosyaları sırasıyla tarar ilk önce hangisini bulur ise o sayfası açar. ISS üzerinde kendi sitenize gidip Default Document sekmesinden kendi dosyalarınızıda tanımlayabiliyorsunuz. Örnegin giris.aspx dosyasını açılış sayfası olmasın istiyorsanız, IIS üz...
Devamı