怎样处理网页上用户输入的字符串才安全?

在一个文章发布系统中,如果禁止文章使用html等代码,并将所有用户输入的内容以纯文本的方式显示出来?
在存往数据库之前怎样处理字符串?

解决方案 »

  1.   

    你可以这样输出内容:
    <xmp>
      your content
    </xmp>
    用户即使输入了HTML代码也不要紧
      

  2.   

    <%@ Page language="C#" ValidateRequest="false">
    string str = Server.HtmlEncode("<html>");
      

  3.   

    请 meizz(梅花雪 封闭开发中)
    说说为什么 
    <xmp>
      your content
    </xmp>
    可以吧?
    这个<xmp>是什么东西???
      

  4.   

    <xmp> 是HTML里一个非常古老的标签, 在HTML3.0后开始潜水, 但是还是可以用的.你自己可以在这个标签里写上一些HTML语句看看效果, 这个标签里的所有内容将不被浏览器解析, 完全按照原文本格式输出
      

  5.   


    <xmp>此元素不被推荐。请换用 PRE 或 SAMP 元素。
    <PRE>
    此文本的格式化效果

    输入

    完全
    相同。
    </PRE>
      

  6.   

    在存往数据库之前怎样处理字符串?public string ReplaceIllegalStr(string str)
    {

    str=str.Replace("'","&#39");
    return str;
    }
      

  7.   

    用 cnhgj(戏子) (剑南...春) 的方法吧
      

  8.   

    用这个函数过滤:
               private string StringFilter(string instr)
    {
    instr = instr.Replace("'", "''");
                instr = instr.Replace("[", "[[]");
                instr = instr.Replace("%", "[%]");
                instr = instr.Replace("_", "[_]");
                instr = instr.Replace("*", "[*]");
    return instr;
    }