我将 Asp.NET MVC 3 与 EF 4.1 与 SQL Azure 一起使用。我有 linq 表达式和存储过程。
现在,我需要允许"';&<>/输入诸如 etc 之类的所有特殊字符并将其保存在数据库中。但是,当它被呈现时,它不应该呈现为 HTML(即,应该呈现为文本)。如何防止 SQL 注入和 XSS 攻击?
我担心的是我们何时在标签中@Html.TextBoxFor或或中显示?@Html.EditorFor我不想在输入的字符类型上妥协。请建议如何解决这个问题?
问问题
889 次