简单的用户输入消毒

 

我正在使用Server.HttpEncode()HttpDecode()来清理用户表单输入,并且在检测到“潜在危险”输入时让服务器抛出异常。

(数据然后保存到MSSQL数据库)

这是否足以阻止SQL / Javascript注入和类似?

不,它根本无法阻止它。 它被更多地用来防止XSS攻击,正如微软在这里所解释的那样。 阅读这个Stackoverflow问题,了解有关防止SQL注入的一些想法。

根据您所处的环境,我会使用诸如Entity Framework或NHibernate这样的技术来完全防止SQL注入,所以您甚至不必担心它。

可能,但几乎肯定不是。

链接地址: http://www.djcxy.com/p/21645.html

上一篇: Simple user input sanitization

下一篇: PHP input sanitizer?