Question

string message = CommonFunctions.SanitiseInput(context.Request.QueryString["msg"]);

该功能定义为：

// Sanitise input
public static string SanitiseInput(string inputText)
{
    string cleanedString = inputText;

    cleanedString.Replace("<","&lt;");      // No code
    cleanedString.Replace(">", "&gt;");
    cleanedString.Replace("&", "&amp;");    // No query string breaks

    return cleanedString;
}

如果输入"rg"，则返回相同的内容，而不是"rg"

Answer 1

C＃中的Replace函数不会修改字符串本身 - 它会返回字符串的修改版本。

试试这个：

public static string SanitiseInput(string inputText)
{
    string cleanedString = inputText;

    cleanedString = cleanedString.Replace("<","&lt;");      // No code
    cleanedString = cleanedString.Replace(">", "&gt;");
    cleanedString = cleanedString.Replace("&", "&amp;");    // No query string breaks

    return cleanedString;
}

对于"rg"，这会给你"&lt;b&gt;rg&lt;/b&gt;"。要将不必要的转化修复为"&"，请将第三个替换转移到其他两个之前，这将为您提供您期望的结果。

Answer 2

你应该使用HttpUtility.HtmlEncode（）：http://msdn.microsoft.com/en-us/library/system.web.httputility.htmlencode.aspx

Answer 3

我认为你需要使用cleanedString = cleanedString.Replace("<","<");等。

c＃替换字符串函数不返回预期结果

3 个答案: