Asp.net mvc 3 允许所有特殊字符并防止SQL注入/XSS_Asp.net Mvc 3_Xss_Sql Injection_Html Encode_Javascript Injection

Asp.net mvc 3 允许所有特殊字符并防止SQL注入/XSS

asp.net-mvc-3

Asp.net mvc 3 允许所有特殊字符并防止SQL注入/XSS,asp.net-mvc-3,xss,sql-injection,html-encode,javascript-injection,Asp.net Mvc 3,Xss,Sql Injection,Html Encode,Javascript Injection,我正在使用Asp.NET MVC 3和EF 4.1以及SQL Azure。我有linq表达式和存储过程现在，我需要允许输入所有特殊字符，如“；&/等，并将其保存在数据库中。但是，当它呈现时，不应呈现为HTML（即，应呈现为文本）。如何防止SQL注入和XSS攻击我关心的是当我们在@Html.TextBoxFor或@Html.EditorFor或标签中显示时？我不想在输入的字符类型上妥协。请建议如何处理此问题？您是否有一个开发站/数据库，可以尝试其中的一些功能？好的，既然您使用的是EF，那么除

我正在使用Asp.NET MVC 3和EF 4.1以及SQL Azure。我有linq表达式和存储过程

现在，我需要允许输入所有特殊字符，如

“；&/

等，并将其保存在数据库中。但是，当它呈现时，不应呈现为HTML（即，应呈现为文本）。如何防止SQL注入和XSS攻击

我关心的是当我们在

@Html.TextBoxFor

或

@Html.EditorFor

或标签中显示时？

我不想在输入的字符类型上妥协。请建议如何处理此问题？

您是否有一个开发站/数据库，可以尝试其中的一些功能？好的，既然您使用的是EF，那么除了不使用EF之外，没有理由担心sql注入（或者不使用sql参数或其他任何内容）。例如，您的任何存储过程是否生成并执行任何sql？请检查它们。类似地，我认为编辑器和标签的内容通常是html编码的，这意味着当页面被解释为html时，这些内容将呈现为文本。不过，我想最好验证它们是否为html编码。