标签: asp.net-mvc-3 xss sql-injection html-encode javascript-injection
我正在使用带有SQL Azure的Asp.NET MVC 3和SQL Azure。我有linq表达式和存储过程。
现在,我需要输入所有特殊字符,如"';&<>/等,并将其保存在数据库中。但是,当它被渲染时,它不应该呈现为HTML(即,应该呈现为文本)。如何防止SQL注入和XSS攻击?
"';&<>/
我担心的是,我们会在@Html.TextBoxFor或@Html.EditorFor或标签中显示? 我不想在输入的字符类型上妥协。请建议如何处理这个问题?
@Html.TextBoxFor
@Html.EditorFor