特殊字符处理的经验 楼主是在讲.net中防止SQL注入吧? 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 对啊~我的数据库被注了好几次了,郁闷比如说,第8条,为什么要尽量避免使用Request()接收数据 总结一下我对特殊字符处理的经验吧: 1. 对接收到的数据类型进行验证; 2. 尽量通过存储过程对数据库进行操作; 3. 如上一点不可行,尽量使用AddNew方法写库; 4. 对作为查询条件的数据,使用自定义函数SQLEncode()转换单引号; 5. 表单控件的值,一定要用双引号引起来; 6. 在表单控件中显示数据时,使用server.HTMLEncode()方法转换字符; 7. 对于通过textarea提交的数据,使用自定义函数HTMLEncode()转换字符并保持格式; 8. 尽量避免使用Request()接收数据,应使用Request.Form()或Request.QueryString(); 9. 尽量避免通过URL传递字符参数(只用此方式传递数值参数) 1.主要目的是防注入.2.一方面可以防注入,另一方面是性能提高.3.还是为了防注入.4.还是为了防注入.5.为了防止空格.6.防止特殊字符,忘记是哪个了,遇到过一次7.html转换8.直接指定接收方式比让server去遍历性能更好,也安全9.安全这些ms基本全是asp要注意的.因为大多数写asp的是用vbscript这类非强类型脚本语言. sql_server 2008 历史数据的备份 不用union all使用变量表查询 棘手问题--在存储过程里,怎么计算结余数? ======急问如下SQL语句该如何写?=========== 查询指定表 指定的时间段内对应的数据 请大家帮忙看看,有关sql查询的问题 可能这个表被锁了 如何让导入批量txt文件 关于数据库设计的一些细节性的讨论,欢迎大家参与,来者有分哦! 求一个SQL算法 动态sql,取不到数据 数据库 还原 只有MDF,LDF 高分,急...
2. 尽量通过存储过程对数据库进行操作;
3. 如上一点不可行,尽量使用AddNew方法写库;
4. 对作为查询条件的数据,使用自定义函数SQLEncode()转换单引号;
5. 表单控件的值,一定要用双引号引起来;
6. 在表单控件中显示数据时,使用server.HTMLEncode()方法转换字符;
7. 对于通过textarea提交的数据,使用自定义函数HTMLEncode()转换字符并保持格式;
8. 尽量避免使用Request()接收数据,应使用Request.Form()或Request.QueryString();
9. 尽量避免通过URL传递字符参数(只用此方式传递数值参数) 1.主要目的是防注入.
2.一方面可以防注入,另一方面是性能提高.
3.还是为了防注入.
4.还是为了防注入.
5.为了防止空格.
6.防止特殊字符,忘记是哪个了,遇到过一次
7.html转换
8.直接指定接收方式比让server去遍历性能更好,也安全
9.安全
这些ms基本全是asp要注意的.因为大多数写asp的是用vbscript这类非强类型脚本语言.