怎么处理HTML字符和SQL字符
日期:2014-05-18 浏览次数:20361 次
如何处理HTML字符和SQL字符?
添加或修改数据时,如果输入的是HTML代码,显示时会自动识别HTML语法.如果是带单引号的SQL语句,提交数据就会失败.
我想做的是显示HTML代码时只显示成文本,就象老CSDN论坛那样不会去识别HTML代码,大家一般都是怎么做的?
另一个好象是过滤单引号问题?提交带单引号的数据都会失败,这是什么问题该怎么解决呢?
------解决方案--------------------
用TextBox控件,在后台取其Text属性值是没有问题 的。
你应该用的是asp的方法,前台处理的。
------解决方案--------------------
你不要用拼接sql语句,否则会死的很惨的,应该用sql参数
------解决方案--------------------
最简单的处理:
xxx.Replace("'","''");
不然下载一个类别:
http://download.csdn.net/source/203965
------解决方案--------------------
提交的时候做下转换
------解决方案--------------------
最好用存储过程或者sql语句中使用参数,而不是直接构造sql语句
------解决方案--------------------
'改全角?还是用参数好点,要不就手工修改带'的',一个改2
------解决方案--------------------
HtmlEncode
对html语句进行转义
最好.插入删除.查询都使用参数
------解决方案--------------------
为了避免sql注入我建议你,不要拼接字符串,最好使用Sqlparamter这个对象
------解决方案--------------------
替换字符串
------解决方案--------------------
html 中用' 代替单引号
添加或修改数据时,如果输入的是HTML代码,显示时会自动识别HTML语法.如果是带单引号的SQL语句,提交数据就会失败.
我想做的是显示HTML代码时只显示成文本,就象老CSDN论坛那样不会去识别HTML代码,大家一般都是怎么做的?
另一个好象是过滤单引号问题?提交带单引号的数据都会失败,这是什么问题该怎么解决呢?
------解决方案--------------------
用TextBox控件,在后台取其Text属性值是没有问题 的。
你应该用的是asp的方法,前台处理的。
------解决方案--------------------
你不要用拼接sql语句,否则会死的很惨的,应该用sql参数
------解决方案--------------------
最简单的处理:
xxx.Replace("'","''");
不然下载一个类别:
http://download.csdn.net/source/203965
------解决方案--------------------
提交的时候做下转换
------解决方案--------------------
最好用存储过程或者sql语句中使用参数,而不是直接构造sql语句
------解决方案--------------------
'改全角?还是用参数好点,要不就手工修改带'的',一个改2
------解决方案--------------------
HtmlEncode
对html语句进行转义
最好.插入删除.查询都使用参数
------解决方案--------------------
为了避免sql注入我建议你,不要拼接字符串,最好使用Sqlparamter这个对象
------解决方案--------------------
替换字符串
------解决方案--------------------
html 中用' 代替单引号
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
