Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我搜索了高低,只能找到一些关于如何将数据从富文本编辑器正确保存到 SQL Server 数据库的非常糟糕的文档。我不使用个人资料,我只想了解它是如何正确完成的,包括如何正确转义所述数据。
使用参数化查询,您无需对进出数据库的数据进行转义或编码。
您应该更关心的是当您从数据库中渲染出 HTML 时,您收到的 HTML 的组成。仅仅相信提交 HTML 的人没有恶意是不够的。
HTML 是否包含脚本?HTML 是否包含 XSS 攻击?HTML 中嵌入的任何格式或 CSS 是否会破坏您的页面?HTML 中未封闭的标记会破坏您的页面吗?
一种简单的方法是在保存时对 TinyMCE 控件的内容进行 HtmlEncode,在检索时对其进行解码。