我上网查了一些了已经,但是得到的只是不全面不系统。(google上搜了“屏蔽替换字符”“特殊字符”“Html字符过滤”)因为我想要存Html的全部格式,也许里面还有一些变成的源代码在里面就想这里的贴出来的代码一样。
所以我想问:
1。希望有高手能给系统的讲一下,如果不屏蔽或者替换这些会在哪些方面产生安全隐患?
2。具体需要替换或者屏蔽文本框中提交的哪些字符?或者替换成什么?替换后会影响格式吗?
3。c#中的Server.HtmlEncode和HtmlDecode在这方面能发挥什么作用么?希望高人能系统的指点一下后人,我想肯定很多刚接触这方面的朋友也想看到您的回复。
所以我想问:
1。希望有高手能给系统的讲一下,如果不屏蔽或者替换这些会在哪些方面产生安全隐患?
2。具体需要替换或者屏蔽文本框中提交的哪些字符?或者替换成什么?替换后会影响格式吗?
3。c#中的Server.HtmlEncode和HtmlDecode在这方面能发挥什么作用么?希望高人能系统的指点一下后人,我想肯定很多刚接触这方面的朋友也想看到您的回复。
解决方案 »
- asp.net笔试2道题,在线等候高手。
- 报错:分不多了,但请各位帮帮忙:SqlException (0x80131904): XML 分析: 行 1,字符 24,需要字符串文字
- 对AjaxControlTool感兴趣的大侠请进
- 每次当datagrid绑定完后,想再在datagrid动态增加几行,什么实现?
- 关于时间比较的一个特殊问题
- aspnet_wp.exe内存一直在增加?
- 为什么window.opener.document.getElementById("txt").value=document.getElementById("hid").Value;附值后,父窗口代码里得不到txt文本框
- TreeView的Navigation问题,如何刷新框架?
- installshield 6.22 制作ASP.net安装程序,mkwebdir.vbs文件应置于哪个目录下?急!!!
- Global.asax.cs中能怎样读取web.config的配置信息?
- asp.net 生成excel文件的问题
- <&# 关于JavaScript控制tr %>
其他地方Server.HtmlEncode就好了,方便快捷
另外Server.HtmlEncode转换'字符么?我刚才是了一下好象没有转换这个,造成我插入数据库失败。如果这个'不需要转换,请指点我。
我的select语句如下
string strSql = "insert into Mydb(col1,col2,col3) values('"+this.tbName.Text+"','"+Server.HtmlEncode(this.tbContent.Text)+"','"+this.tbTitle.Text+"')";
sql字符串中不要用this.tbName.Text,最起码也要进行一下为空或其它验证吧
另:用存储过程写入数据库
1。必须使用存储过程来减小安全风险;
2。将部分特殊字符转换——用Server.HtmlEncode还是什么方面各有说法,到底转化哪些字符还需有人点破沃阿。
你给的那个帖里面说只要用存储过程传递参数的方式之行SQL语句就可以减小用户输入产生的安全隐患了。多谢你了