标签: sql sql-server sql-injection user-input javascript-injection
我正在使用Server.HttpEncode()和HttpDecode()来清理用户表单输入,以及让服务器在检测到“潜在危险”输入时抛出异常。
Server.HttpEncode()
HttpDecode()
(然后将数据保存到MSSQL数据库中)
这被认为足以阻止SQL / Javascript注入和类似吗?
答案 0 :(得分:1)
不,它根本不会阻止它。如Microsoft here所解释的那样,它更多地用于防止XSS攻击。阅读this Stackoverflow问题,了解有关防止SQL注入的一些想法。
根据您所处的环境,我会使用诸如Entity Framework或NHibernate之类的技术来完全阻止SQL注入,因此您甚至不必担心它。
答案 1 :(得分:-2)
可能,但几乎肯定不是。