共用方式為


使用片段時的安全性考量

更新:2007 年 11 月

Visual Studio 安裝的 Intellisense 程式碼片段本身沒有安全性危險的問題。但是根據其使用的位置和修改的方式,它們可能會對您的應用程式造成安全上的風險。從網際網路下載的程式碼片段應該與其他下載的內容等同視之。

來自網際網路的程式碼片段

從網際網路下載程式碼片段檔案時,請注意下列幾點:

  • 副檔名為 .snippet 的檔案不保證一定包含純文字 XML。為了安全起見,請從您信任的網站下載,並使用最新的防毒軟體。

  • 程式碼片段檔案內的說明 URL 可能會執行惡意的指令碼檔或顯示含有惡意的網站。插入程式碼片段時,[程式碼編輯器] 並不會顯示說明 URL,但如果在 XML 編輯器或其他編輯器 (例如記事本) 中編輯程式碼片段檔案,就會看到它。

  • 程式碼本身可能包含執行後會損壞系統的程式碼,因此請先仔細閱讀原始程式碼後再執行。有些程式碼可能藏在摺疊的 #Region 指示詞區段內,請展開這些區段以閱讀程式碼。

  • 程式碼片段可能包含參考。這些參考會以無訊息的方式加入至專案,而且可從系統的任何位置載入。系統可能已從您下載程式碼片段的位置,將這些參考下載至您的電腦。程式碼片段接著可能會在執行惡意程式碼的參考中呼叫方法。為了避免遭受這類攻擊,請仔細閱讀程式碼片段檔案後再插入程式碼片段,並從信任的網站下載。

所有程式碼片段的安全性

程式碼片段的安全程度取決於它在原始程式碼中的使用位置,以及其在程式碼中修改的方式。下列清單包含一些必須考量的部分:

  • 檔案和資料庫存取

  • 程式碼存取安全性

  • 保護資源 (例如事件記錄檔、登錄)

  • 儲存密碼

  • 驗證輸入

  • 將資料傳遞至指令碼技術

如需詳細資訊,請參閱設定應用程式的安全性

請參閱

工作

HOW TO:線上搜尋程式碼片段

概念

設定應用程式的安全性

參考

建立和使用 IntelliSense 程式碼片段