我有一个客户端/服务器应用程序(asp.net),它有一个textarea,用户在html elements + text中键入。
从客户端发送到服务器的数据是通过jQuery ajax POST。 (到ashx)
让客户输入:
<b> Hello </b>
所以我:
1)encodeUriComponent全文。
2)Html Encode特殊字符(如> <)
3)将其发送到服务器
4)保存在DB中。
问题:
在db中保存的首选方法是什么?
使用> <?或者我应该解码然后保存它?
(数据应该呈现给用户,将来的某个时间......)
答案 0 :(得分:0)
您可以将其保存到数据库raw,但我强烈建议您使用某种解析来清理输入。你需要清理非标准的html,以及javascript等的任何尝试。否则这是一个巨大的安全风险。你可以在这里使用html tidy .net包装器。
http://markbeaton.com/SoftwareInfo.aspx?ID=81a0ecd0-c41c-48da-8a39-f10c8aa3f931
答案 1 :(得分:0)