我搜索过高和低,只能找到一些关于如何将数据从富文本编辑器正确保存到SQL Server数据库的非常糟糕的文档。我不是在处理个人资料,我只是想了解它是如何正确完成的,包括如何正确地逃避所述数据。
答案 0 :(得分:1)
使用参数化查询,您无需转义或编码进出数据库的数据。
您应该更关注的是在从数据库中呈现出来时您正在接收的HTML的组成。信任提交HTML的人不是恶意的,这还不够。
HTML是否包含脚本? HTML是否包含XSS攻击? HTML中嵌入的格式或CSS是否会破坏您的页面? HTML中未关闭的标记是否会破坏您的页面?
答案 1 :(得分:0)
一种简单的方法是在保存时对HinyEncode保存TinyMCE控件的内容,并在检索时对其进行解码。