重视visual studio中的警告

　　在使用visual studio开发过程中，有时发现在“错误列表”中的一些提示，大体分为错误、警告、消息，错误是我们必须处理的，否则代码通过编译，警告有时常常会被忽略(也许你是细心人，会处理掉)，有时，这样的忽略会为应用埋下安全的隐患。

 

 

 

　　其实这些提示，是来自微软的IDE的Security Code Scan - static code analyzer for .NET，这些提示汇总在https://security-code-scan.github.io/里。

　　其中Rules里，给了我们很多友好的提示，比如最普通常见的安全隐患SQL注入，如下图，不但给出了有隐患的代码，还给出了针对性的解决方案。

 

 

 　　还的常见的跨站点攻击CSRF的针对性解决方案：

 

 

 　　还有几乎写web应用都会遇到的文件访问攻击，无一例外的给出了我们解决方案：

 

 

 　　这些警告信息在相当程度上给我们起到提示预警的作用，虽然我们的程序会照常运行，但是还是要注意的，当然不是一刀切，如果你的应用在使用场景上有明显不同，可以忽略处理，比如你是在局域网中访问，那CSRF在一定程序上就可以放宽标准，不作细致的处理，这也是vs没有把这类问题变成错误，只是一个警告的原因之一吧。

 

　　想要更快更方便的了解相关知识，可以关注微信公众号