我有一个Web表单,允许您将用户输入输入到@ Html.Textarea。如果存在表单验证错误,则输入将显示在文本区域中。如果表单成功提交,则用户的输入将发送到数据库。
我已经尝试了各种我能想到的用于SQL注入的东西,看起来微软的内置功能正在抓住它。我应该做些什么来消毒这种输入?
我使用的是最新的MVC Razor框架。我们使用的是强类型。我已经阅读了Html.Encode,但我认为Html.Textarea方法已经在做了吗?我没有实现它。
答案 0 :(得分:2)
Razor部分没有实现任何此类检查(因为它无法知道您认为什么是有效输入)。但是,您在MVC中使用的数据库层几乎肯定会处理注入攻击。