c# – 扩展类型安全性以防止脏数据被用于需要“干净”数据的函数

其中一个例子是在SQL事务中使用用户POST的数据和“原始”响应.这可能会导致从客户端脚本漏洞到整个服务器受到攻击的任何问题.

另一个例子是我必须将数据传递给COM对象以进行进一步处理.

作为C#,ASP.net和SQL开发人员,我有什么选择来确保我的用户的脏位在清理之前不会触及任何内部的东西？我可以利用运行时(或编译器)的功能吗？

如果没有语言实际执行它,也许我只能在我的传入变量中添加_dirty的后缀.这是你推荐的最佳做法吗？

专业人士如何解决这个问题？

更新

这是我要去的概念方向

根据目前给出的答案(特别是SteveCzetty和Erlend),这有点启发

例如：

public Interface ICleanForJavascript { bool IsCleanForJavascript(); } 

public Interface ICleanForXSS { bool IsCleanForJavascript(); }

public class DirtyData 
{
    string Name {get; set;}
}

public class CleanData
{
    private CleanData() {}
    string Name {get; private set;}


     // Perhaps use casting to support the conversion from Dirty to Clean data
     // Might use this in an option explicit DirtyData CleanData(object o); command 
    public static CleanData Validate(DirtyData d)
    {
        CleanData data = new CleanData();
        if (ValidateString(d.Name))
        { 
             data.Name = d.Name
        }
        else
        {
             throw new ValidationException();
        }
        return CleanData;
    }
}

[RequiresCleanedDataAttribute(ICleanForJavascript )]
public void DoSomething(CleanData data)
{
    //...
}

 Attribute RequiresCleanedDataAttribute(object arrayOfCleanings[])
 {
  // do some reflection on the method signature and see if the object supports the required interfaces
 }

有了上述,那么：

DoSomething(new DirtyData()); // Compiler Error,or runtime error if Attribute validation fails
DoSomething(CleanData.Validate(new DirtyData())); // Compiles