标签: asp.net
使用字符白名单来清理asp.net应用程序中输入的最佳方法是什么?
答案 0 :(得分:2)
一个起点/良好做法:
HtmlEncode会处理将所有html标记转换为无害值,例如:<
<
始终使用SQL参数而不是字符串连接来避免SQL注入。 (实体框架或LINQ为您执行此操作)
我总是被教导:不要试图用基本原理重新发明轮子(例如建立自己的消毒解决方案),而是站在巨人的肩膀上。比我更聪明的头脑开发用于输入消毒,加密,随机生成器的工具箱。自己写一个很容易出错。