使用字符白名单来清理 ASP.NET 应用程序中的输入的最佳方法是什么?
最佳答案
起点/良好实践:
HtmlEncode 会将所有 html 标签转换为无害的值,例如:<
始终使用 SQL 参数而不是字符串连接,以避免 SQL 注入(inject)。 ( Entity Framework 或 LINQ 会为您完成此操作)
我总是被教导:不要试图从根本上重新发明轮子(例如构建自己的 sanitizer 解决方案),而要站在巨人的肩膀上。比我更聪明的人开发了用于输入清理、密码学、随机生成器的工具箱。我自己写一个很可能容易出错。
关于asp.net - 清理用户输入的最佳方法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42129004/