关于sql:简单的用户输入清理

Simple user input sanitization

我正在使用Server.HttpEncode()HttpDecode()来清理用户表单输入,以及在检测到"潜在危险"输入时让服务器抛出异常。

(然后将数据保存到MSSQL数据库)

这被认为足以阻止SQL / Javascript注入和类似?


不,它根本不会阻止它。 它更多地用于防止XSS攻击,正如微软在这里所解释的那样。 阅读此Stackoverflow问题,了解有关防止SQL注入的一些想法。

根据您所处的环境,我会使用诸如Entity Framework或NHibernate之类的技术来完全阻止SQL注入,因此您甚至不必担心它。


可能,但几乎肯定不是。