JBTALKS.CC
标题:
关于textbox 输入html标签和 sql injection 疑问
[打印本页]
作者:
兴杰
时间:
2013-1-26 07:14 PM
标题:
关于textbox 输入html标签和 sql injection 疑问
最近在学写论坛 , 遇到一些菜鸟问题 。 关于安全性的 ,请各位高手指点一下,万分感激!
sql 参数化以后 , 如果我不限制用户的上传信息 , 这样是否够安全呢 ?
还有我的代码写的够完整吗 ?
connection = new MySqlConnection(connectionString);
connection.Open();
string loginusername = txtloginusername.Text
string loginpassword = txtloginpassword.Text
string sql_login = "select COUNT(*) as Admin_login from table where username =?loginName and password=?password";
MySqlCommand myCommand = new MySqlCommand(sql_login, connection);
myCommand.Parameters.Add(new MySqlParameter("loginName", MySqlDbType.VarChar)).Value = loginusername;
myCommand.Parameters.Add(new MySqlParameter("password", MySqlDbType.VarChar)).Value = loginpassword;
MySqlDataReader myReader = null;
myReader = myCommand.ExecuteReader();
还有就是textbox 的过滤问题
我这样写对吗 ?
validateRequest="false"
public string Encode(string str)
{
str = str.Replace("&", "&");
str = str.Replace("'", "''");
str = str.Replace("\\", """);
str = str.Replace(" ", " ");
str = str.Replace("<", "<");
str = str.Replace(">", ">");
str = str.Replace("\r\n", "<br>");
return str;
}
public string Decode(string str)
{
str = str.Replace("<br>", "\r\n");
str = str.Replace(">", ">");
str = str.Replace("<", "<");
str = str.Replace(" ", " ");
str = str.Replace(""", "\\");
str = str.Replace("&", "&");
return str;
}
作者:
useri1
时间:
2013-3-5 11:15 AM
没有人这样验证了啦,都是使用parameter
作者:
兴杰
时间:
2013-3-7 12:44 AM
useri1 发表于 2013-3-5 11:15 AM
没有人这样验证了啦,都是使用parameter
没错, 哈哈 !我也学会了 ^^
欢迎光临 JBTALKS.CC (https://www.jbtalks.cc/)
Powered by Discuz! X2.5
