3

我在将 HTML 数据插入 SQL Server 时遇到问题。以下是详细信息:

这是我的存储过程;

@articleID int,
@articleBody nvarchar(max)
AS

UPDATE v2_Articles SET articleBody = @articleBody WHERE articleID = @articleID

这是我插入数据的asp代码;

x_articleBody = Replace(Replace(Request.Form("x_articleBody"), CHR(34), """"), "'", """")

Connection.Open(ConnStr)
Connection.Execute("EXEC InsertBody @articleID = " & aID & ", _
@articleBody = '" & x_articleBody & "'")            
Connection.Close()

这是我要插入的数据;

<font> TEXT TEXT &nbsp;&nbsp; TEXT TEXT</font>

所以,问题是:当我尝试这个时,数据保存到

&nbsp;

这意味着在进程 sql 表发生变化之后;

<font> TEXT TEXT

有什么想法吗?

附言。我正在使用 nicedit 文本编辑器生成 html 数据。

4

1 回答 1

2

首先,不要使用嵌入式 SQL——这样做会给自己带来额外的麻烦,因为您必须经历这种数据清理混乱,并且您将应用程序暴露在潜在的SQL 注入中。

创建一个将文本作为参数的存储过程,并使用它来保存您的 HTML 标记。

于 2011-04-13T11:07:54.390 回答