asp.net做网站是用户通过表单提交的数据,例如文章标题、文章内容、居住地址等等
这些数据在存进数据库前要经过那些必要的验证呢? 主要指安全性方面的验证但存进数据库后在读取的时候,在显示之前还有什么(验证、编码)步骤吗? 还是可以直接读取并显示?这样方面没有经验,请各位指点因为我看一些代码(asp的),在数据存储前要这样处理...message=Trim(Request.form("oblog_edittext"))
message=EncodeJP(oblog.filtpath(oblog.filt_badword(message)))在从数据库中读取显示出来之前又要oblog.filt_html(rs("siteinfo"))
……
Server.HtmlEncode(rs("logtext"))
asp.net是否也要这样处理? 不这样做是不是有安全隐患?
这些数据在存进数据库前要经过那些必要的验证呢? 主要指安全性方面的验证但存进数据库后在读取的时候,在显示之前还有什么(验证、编码)步骤吗? 还是可以直接读取并显示?这样方面没有经验,请各位指点因为我看一些代码(asp的),在数据存储前要这样处理...message=Trim(Request.form("oblog_edittext"))
message=EncodeJP(oblog.filtpath(oblog.filt_badword(message)))在从数据库中读取显示出来之前又要oblog.filt_html(rs("siteinfo"))
……
Server.HtmlEncode(rs("logtext"))
asp.net是否也要这样处理? 不这样做是不是有安全隐患?
输出时没有进行HTML编码,如果内容含有HTML的话,你的页面就有可能毁容了
例如:
SqlCommand myCommand = new SqlCommand("MEM_LiuYanList", myconn); myCommand.CommandType = CommandType.StoredProcedure; SqlParameter paramemId = new SqlParameter("@MemberId", SqlDbType.Int, 4);
paramemId.Value = userId;
myCommand.Parameters.Add(paramemId);------------------------------------
其中 userId 就是传来的值,MEM_LiuYanList 是一个预先写好的存储过程。