在软件开发中，Naughty Strings（即“调皮字符串”）是一类可能触发程序漏洞或异常行为的特殊输入，例如SQL注入代码、跨站脚本（XSS）载荷、包含空字符（\0）的字符串、超长文本或格式破坏内容（如未转义的JSON/XML）。这类输入轻则导致程序崩溃，重则引发严重的安全漏洞。本文将探讨如何在C#中通过安全编码实践和工具库有效防御此类问题。

防御SQL注入攻击

SQL注入是最常见的安全威胁之一。攻击者通过构造恶意输入（如' OR 1=1 --）篡改SQL语句逻辑。在C#中，参数化查询是防御此类攻击的核心手段。例如，使用SqlCommand与SqlParameter显式绑定参数，而非拼接字符串：

using (var command = new SqlCommand("SELECT * FROM Users WHERE Name = @name", connection))
{
    // 使用Parameters.AddWithValue绑定参数，避免直接拼接
    command.Parameters.AddWithValue("@name", userInput);
    var reader = command.ExecuteReader();
    // 处理查询结果
}

通过参数化，用户输入会被视为数据而非可执行代码，从而隔离注入风险。若使用ORM框架（如Entity Framework），其底层已自动实现参数化，进一步降低人为错误。

防止XSS攻击与输出编码

在Web应用中，未处理的用户输入若直接输出到HTML页面，可能导致XSS攻击。例如，用户提交<script>alert(1)</script>时，若未编码，浏览器将执行该脚本。ASP.NET Core默认对通过@符号输出的内容进行HTML编码：

<!-- Razor视图中，以下内容自动编码 -->
<p>@Model.UserComment</p>

若需输出原始HTML（如富文本编辑器内容），需显式标记为安全，但应谨慎使用：

@Html.Raw(Model.SanitizedHtml)  <!-- 仅在确认内容安全时使用 -->

对于手动编码的场景，可使用
System.Web.HttpUtility.HtmlEncode方法：

string encoded = HttpUtility.HtmlEncode(userInput);
Response.Write(encoded);  // 输出转义后的安全内容（如<script>）

输入验证与正则表达式

在数据进入系统前进行严格的输入验证是关键防御层。例如，使用正则表达式限制用户名仅包含字母和数字：

using System.Text.RegularExpressions;
public bool ValidateUsername(string input)
{
    // 正则匹配：3-20位字母数字
    return Regex.IsMatch(input, @"^[a-zA-Z0-9]{3,20}#34;);
}

ASP.NET Core中还可通过数据注解（Data Annotations）在模型层定义验证规则：

public class LoginRequest
{
    [Required(ErrorMessage = "用户名不能为空")]
    [StringLength(20, MinimumLength = 3)]
    [RegularExpression(@"^[a-zA-Z0-9]+#34;, ErrorMessage = "仅允许字母和数字")]
    public string Username { get; set; }
}

在Controller中，通过ModelState.IsValid自动验证：

public IActionResult Login(LoginRequest request)
{
    if (!ModelState.IsValid)
    {
        return BadRequest(ModelState);  // 自动返回验证错误
    }
    // 处理合法输入
}

处理特殊字符与空值

某些场景需清理字符串中的控制字符（如\0、\b），避免解析异常：

// 移除非可见控制字符
string sanitized = new string(input.Where(c => !char.IsControl(c)).ToArray());

对于空值或空白字符串，应使用string.IsNullOrWhiteSpace进行检查：

if (string.IsNullOrWhiteSpace(input))
{
    throw new ArgumentException("输入不能为空或纯空格");
}

使用第三方库增强安全性

部分复杂场景需依赖成熟的三方库。例如，HtmlSanitizer可深度清理HTML中的危险标签：

using HtmlSanitizer;
var sanitizer = new HtmlSanitizer();
sanitizer.AllowedAttributes.Add("class");  // 允许保留class属性
string safeHtml = sanitizer.Sanitize(dirtyHtml);  // 移除<script>等危险内容

通过NuGet安装：

Install-Package HtmlSanitizer

对于JSON处理，Newtonsoft.Json（Json.NET）能自动处理转义与结构验证：

var userInput = "{ \"name\": \"<script>alert(1)</script>\" }";
var parsed = JsonConvert.DeserializeObject<User>(userInput);  // 反序列化时不会执行脚本

测试与漏洞验证

为验证防御措施的有效性，可使用测试库生成Naughty Strings。例如，Bogus库生成包含边缘值的测试数据：

var faker = new Faker();
var longString = faker.Random.String(100000);  // 生成10万字符的长字符串
var xssPayload = faker.Lorem.Replace("<script>/*...*/</script>");  

此外，可参考公开的Naughty Strings列表（如Big List of Naughty Strings）构建单元测试：

[TestMethod]
public void TestSqlInjectionDefense()
{
    var naughtyStrings = File.ReadAllLines("blns.txt");
    foreach (var s in naughtyStrings)
    {
        var result = ValidateUsername(s);
        Assert.IsFalse(result);  // 期望所有非法输入被拒绝
    }
}

总结

Naughty Strings的防御需结合输入验证、安全编码和输出过滤的多层策略。C#生态提供了丰富的内置功能（如参数化查询、模型验证）和第三方库（如HtmlSanitizer），开发者应遵循“最小化信任”原则，默认所有用户输入均不可信。通过严格的安全实践与自动化测试，可显著降低因恶意输入导致的风险，构建健壮的应用程序。