0

我有一个概念问题。我有这个 asp.net 页面来管理代码片段。现在我想在提交之前给这个片段添加标签。像你可以用stackoverflow做的事情。我想知道我应该如何去做这件事?

我想到了一个hiddentextbox,当用户从下拉列表中选择一个值时,它由jquery填充,用“;”分隔,可以在服务器端读取和分隔。但我猜这很容易被修补?

有没有合适的方法来做到这一点?

4

1 回答 1

1

我知道您主要担心的是您的方法容易受到 sql 注入的影响。

您描述的方法非常常见且经常使用,并且本身不会导致任何 sql 注入漏洞。

这完全取决于您的服务器端代码是如何实现的。如果您将编写纯文本 sql 查询(如 var sql = "insert into mytable values(" + param1 + ")),那么您将面临 sql 注入风险。

如果您将使用带参数的 sql 命令、Linq2SQL、Entity Framework 或任何不构建 sql 查询的方法,如我上面提到的,您无需担心。

享受!

于 2012-05-06T11:54:52.723 回答