想知道我应该在将数据放入数据库还是显示给用户之前对所有数据进行编码?或两者。Html输入数据时的编码?还是输家或两者?
现在我会向用户展示它。我使用的是asp.net mvc 2.0,所以我通常只需要编写一切<%: %>
。
我不确定两者,虽然这可能是一个有点极端做到这一点。
此外,我真的只需要注意用户输入字符串权利?
就像我刚刚遇到一个问题,其中我的插件之一由于某种原因不能出于某种原因弄清楚如何日期如果日期是HTML编码。
我只是把它编码没有想到。现在有人向我指出,这样做没有什么意义,因为我将日期从数据库中取出,并在数据库中将其存储为日期时间。所以不能真的存储在那里的JavaScript。
所以我猜我真的没有这些编码(纠正我,如果我错了)
INT,位(布尔变量),dataetimes,小数类型如果存储在数据库中的这种方式。
如果它不影响我的任何插件,我仍然可以对它们进行编码,但很高兴知道我可能不需要。
通常,当数据已经被解码时,你会得到数据,你把它放在数据库(或其他)中,像你说的那样,语法会在显示时处理它。由于这种语法,你不需要担心其他地方的编码/解码问题(至少在绝大多数情况下) – 2010-07-16 21:55:55