Facebook Sharer
选择您要替换的背景颜色:
【农历新年】背景图片:
个性化设定
 注册  找回密码
查看: 1224|回复: 2
打印 上一主题 下一主题

关于textbox 输入html标签和 sql injection 疑问

[复制链接]

43

主题

1

好友

698

积分

青铜长老

Rank: 7Rank: 7Rank: 7Rank: 7Rank: 7Rank: 7Rank: 7

跳转到指定楼层
1#
发表于 2013-1-26 07:14 PM |只看该作者 |倒序浏览
最近在学写论坛 , 遇到一些菜鸟问题 。 关于安全性的  ,请各位高手指点一下,万分感激!
sql 参数化以后 , 如果我不限制用户的上传信息  , 这样是否够安全呢 ?
还有我的代码写的够完整吗 ?

connection = new MySqlConnection(connectionString);
                        connection.Open();

                        string loginusername = txtloginusername.Text
                        string loginpassword = txtloginpassword.Text
                  
               
                        string sql_login = "select COUNT(*) as Admin_login from table where username =?loginName and password=?password";

                        MySqlCommand myCommand = new MySqlCommand(sql_login, connection);
                        myCommand.Parameters.Add(new MySqlParameter("loginName", MySqlDbType.VarChar)).Value = loginusername;
                        myCommand.Parameters.Add(new MySqlParameter("password", MySqlDbType.VarChar)).Value = loginpassword;

                        MySqlDataReader myReader = null;

                        myReader = myCommand.ExecuteReader();

还有就是textbox 的过滤问题
我这样写对吗 ?

validateRequest="false"

        public string Encode(string str)
        {
            str = str.Replace("&", "&");
            str = str.Replace("'", "''");
            str = str.Replace("\\", """);
            str = str.Replace(" ", " ");
            str = str.Replace("<", "&lt;");
            str = str.Replace(">", "&gt;");
            str = str.Replace("\r\n", "<br>");
            return str;
        }


        public string Decode(string str)
        {
            str = str.Replace("<br>", "\r\n");
            str = str.Replace("&gt;", ">");
            str = str.Replace("&lt;", "<");
            str = str.Replace("&nbsp;", " ");
            str = str.Replace("&quot;", "\\");
            str = str.Replace("&amp;", "&");
            return str;
        }





收藏收藏0

2

主题

0

好友

127

积分

高级会员

Rank: 3Rank: 3Rank: 3

2#
发表于 2013-3-5 11:15 AM |只看该作者
没有人这样验证了啦,都是使用parameter


回复

使用道具 举报

43

主题

1

好友

698

积分

青铜长老

Rank: 7Rank: 7Rank: 7Rank: 7Rank: 7Rank: 7Rank: 7

3#
发表于 2013-3-7 12:44 AM |只看该作者
useri1 发表于 2013-3-5 11:15 AM
没有人这样验证了啦,都是使用parameter

没错, 哈哈 !我也学会了 ^^


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

JBTALKS.CC |联系我们 |隐私政策 |Share

GMT+8, 2024-12-1 07:09 PM , Processed in 0.084959 second(s), 22 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

Ultra High-performance Dedicated Server powered by iCore Technology Sdn. Bhd.
Domain Registration | Web Hosting | Email Hosting | Forum Hosting | ECShop Hosting | Dedicated Server | Colocation Services
本论坛言论纯属发表者个人意见,与本论坛立场无关
Copyright © 2003-2012 JBTALKS.CC All Rights Reserved
合作联盟网站:
JBTALKS 马来西亚中文论坛 | JBTALKS我的空间 | ICORE TECHNOLOGY SDN. BHD.
回顶部