查看: 1215|回复: 2

关于textbox 输入html标签和 sql injection 疑问

43 主题	1 好友	698 积分

青铜长老

Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7

发消息

电梯直达

1^#

发表于 2013-1-26 07:14 PM |只看该作者 |倒序浏览

最近在学写论坛，遇到一些菜鸟问题。关于安全性的  ，请各位高手指点一下，万分感激！
sql 参数化以后，如果我不限制用户的上传信息  ，这样是否够安全呢？
还有我的代码写的够完整吗？

connection = new MySqlConnection(connectionString);
                     connection.Open();

                     string loginusername = txtloginusername.Text
                     string loginpassword = txtloginpassword.Text


                     string sql_login = "select COUNT(*) as Admin_login from table where username =?loginName and password=?password";

                     MySqlCommand myCommand = new MySqlCommand(sql_login, connection);
                     myCommand.Parameters.Add(new MySqlParameter("loginName", MySqlDbType.VarChar)).Value = loginusername;
                     myCommand.Parameters.Add(new MySqlParameter("password", MySqlDbType.VarChar)).Value = loginpassword;

                     MySqlDataReader myReader = null;

                     myReader = myCommand.ExecuteReader();

还有就是textbox 的过滤问题
我这样写对吗？

validateRequest="false"

      public string Encode(string str)
      {
         str = str.Replace("&", "&");
         str = str.Replace("'", "''");
         str = str.Replace("\\", """);
         str = str.Replace(" ", " ");
         str = str.Replace("<", "<");
         str = str.Replace(">", ">");
         str = str.Replace("\r\n", "<br>");
         return str;
      }

      public string Decode(string str)
      {
         str = str.Replace("<br>", "\r\n");
         str = str.Replace(">", ">");
         str = str.Replace("<", "<");
         str = str.Replace(" ", " ");
         str = str.Replace(""", "\\");
         str = str.Replace("&", "&");
         return str;
      }