那些遇到过的问题

我们应该清理传递给action方法的非字符串参数吗?

xpo*_*ort 2 asp.net-mvc

对于字符串参数,我们必须在action方法中对它们进行清理,如下所示:

public ActionResult Browse(string genre)
{
        string message = HttpUtility.HtmlEncode(genre);

        return View(message);
}
Run Code Online (Sandbox Code Playgroud)

是否有必要如下消毒非弦乐参数?

    public ActionResult Details(int id)
    {
        int data = int.Parse(HttpUtility.HtmlEncode(id));
        return View(data);
    }
Run Code Online (Sandbox Code Playgroud)

Lev*_*evi 5

就个人而言,我建议在视图中清理这些输入.如果您使用的是WebForms视图引擎,则可以使用它<%: ... %>来执行此操作,或者如果您使用的是Razor,则可以使用@运算符.这也使得数据流通过系统视图独立,因此您可以更轻松地共享数据和模型.

例如,在将数据存储在数据库中之前对HTML编码数据使得很难在将来某个日期创建将数据作为CSV文件输出的视图.如果视图负责执行此操作,则视图可以选择适合其自己的应用程序的CSV编码或HTML编码.

  • @xport - 如果您正在使用LinqToSql,EF或其他类似的ORM框架,他们会代表您处理转义输入字符串.如果您手动生成INSERT语句,请使用参数化SQL(http://www.bing.com/search?setmkt=en-US&q=parameterized+sql)来防止SQL注入.Parameterized SQL的特定语法取决于您的数据层. (3认同)

归档时间:

查看次数:

2896 次

最近记录:

15 年 前
相关归档
SignalR +通过操作方法向Hub发送消息 64
如何"无效"部分ASP.NET MVC输出缓存? 46
如何在MVC中为国家/地区/省创建选择列表 26
System.Web.HttpException(0x80004005):超出最大请求长度 14
将MVC网站脱机并重新联机 12
从HttpActionContext获取会话 9
是否有简单的方法来连接两个RouteValueDictionary值以将参数传递给Html.ActionLink 8
ASP.NET MVC 404处理和IIS7 <httpErrors> 8
SmtpClient.SendAsync调用自动取消 8
你知道任何ASP.NET MVC代码生成器吗? 7
难疑归档
不区分大小写'包含(字符串)' 2785
Bash中的Echo newline打印文字\n 2171
我怎样才能过渡高度:0; 高度:自动; 用CSS? 1985
如何在C#中生成随机int数? 1792
如何为项目中的单个文件禁用ARC? 1332
Markdown中的评论 1277
"this"关键字如何运作? 1243
window.onload vs $(document).ready() 1205
如何在同一元素上组合背景图像和CSS3渐变? 1203
使用node.js作为简单的Web服务器 1068