Sto usando Process.Start in un servizio Windows I creato per eseguire un exe che ho sul mio server che viene utilizzato per la conversione audio. Sto passando alcuni input dell'utente come parametro per questo exe. Il codice ha un aspetto simile al seguente:
string filePath = "\ffmpeg.exe";
string parameters = String.Format(@"-i ""{0}"" -f mp3 ""{1}""",
LocalFileName,
tempDirectory + NewFileName);
ProcessStartInfo startInfo = new ProcessStartInfo(ffmpegPath, parameters);
Process proc = Process.Start(startInfo);
Le variabili LocalFileName
e NewFileName
vengono impostate dall'input dell'utente. Se voglio proteggermi contro OS Injection , è sufficiente rimuovere tutti i &
caratteri o c'è altro che dovrei fare?