フロントエンドはあまり重要ではなく、バックエンドのデータ アクセス戦略です。
では、データ アクセスはどのように行っていますか? パラメータ化されたクエリまたは ORM (Entity Framework) を使用していて、インライン sql を使用していない場合、問題はありません。データベース ドライバが適切なエスケープを行います。
他のシステムが保存されたデータを使用し、インライン SQL (パラメーター化されていないクエリ) を実行する可能性がある場合は、コードを正規表現して、1. 数字は数字であることを意味します 2. テキストは英数字のみです 3.ストアド プロシージャを使用する場合は、ストアド プロシージャ内のコードが sp_executesql によるインジェクションに対して脆弱でないことを確認する必要があります。サーバー側で動的 SQL がどうしても必要な場合は注意してください。sp_executesql は、すべての文字列を連結するのではなく、パラメーター化されたクエリをサポートします。
ここで言及する必要があると思うので、補足として、www.whatever.com/order/1 のようなシナリオは、一般に、QUERIES が現在のユーザーのアクセスを適切に制限していないパラメーターの改ざん (SQL インジェクションではない) に対して脆弱であることに注意してください。そのため、通常はクエリを見直して、ユーザーが要求しているものにアクセスできることを確認してください。OrderId=@orderId where CustomerId=@customerId の Order から ShipDate を選択します。customerId はサーバー側にのみ保存され、セキュリティ/プロファイル システムの一部です。
asp.net の Web フォームと MVC アプリケーションのハック防止に関する詳細情報が必要な場合は、pluralsight.com で 5 時間のコースを受講できます。
http://pluralsight.com/training/courses/TableOfContents?courseName=hack-proofing-dotnet-app&highlight=adam-tuliper_information-leakage#information-leakage