2
我正在使用Asp.NET MVC 3和EF 4.1与SQL Azure。我有linq表达式以及存储过程。允许所有特殊字符并防止SQL注入/ XSS
现在,我需要允许输入所有特殊字符,如"';&<>/等,并将其保存在数据库中。但是,渲染时,它不应该呈现为HTML(即,应该呈现为文本)。我该如何防止SQL注入和XSS攻击?
我担心的是当我们在@Html.TextBoxFor或@Html.EditorFor或标签中显示? 我不想妥协输入的字符类型。请提出如何解决这个问题?
你有一个开发工作站/数据库,你可以尝试一些这些东西? Afaik,因为您使用的是EF,除了不使用EF *的地方(或者您没有使用SQL参数或其他地方),没有理由担心sql注入。例如,你的任何存储过程是否生成并执行任何sql?检查他们。同样,*我认为*编辑器和标签的内容通常是html编码的,这意味着当页面被解释为html时,内容*将被渲染为文本*。不过,我认为确认他们是htmlencode会很好。 – JayC 2013-03-21 17:46:09