将HTML数据插入SQL Server
我在将HTML数据插入SQL Server时遇到问题。详情如下: 这是我的存储过程将HTML数据插入SQL Server,html,sql-server,insert-update,Html,Sql Server,Insert Update,我在将HTML数据插入SQL Server时遇到问题。详情如下: 这是我的存储过程 @articleID int, @articleBody nvarchar(max) AS UPDATE v2_Articles SET articleBody = @articleBody WHERE articleID = @articleID 这是我用来插入数据的asp代码 x_articleBody = Replace(Replace(Request.Form("x_articleBody"), CH
@articleID int,
@articleBody nvarchar(max)
AS
UPDATE v2_Articles SET articleBody = @articleBody WHERE articleID = @articleID
这是我用来插入数据的asp代码
x_articleBody = Replace(Replace(Request.Form("x_articleBody"), CHR(34), """"), "'", """")
Connection.Open(ConnStr)
Connection.Execute("EXEC InsertBody @articleID = " & aID & ", _
@articleBody = '" & x_articleBody & "'")
Connection.Close()
这是我插入的数据
<font> TEXT TEXT TEXT TEXT</font>
这意味着在处理之后,sql表会发生如下变化:
<font> TEXT TEXT
文本
对此有什么想法吗
另外,我正在使用nicedit文本编辑器生成html数据 首先,不要使用嵌入式SQL—这样做会给自己带来额外的麻烦,因为您必须经历这种数据清理混乱,并且您的应用程序将面临潜在的风险
创建一个以文本为参数的存储过程,并使用它保存HTML标记 这是各种各样的坏消息。为什么要在数据库中保存HTML?你在验证你的论点吗?如何防止保存恶意HTML?您应该使用存储过程,而不是动态SQL。因为没有人可以插入任何恶意的HTML,这是本地应用程序,除了admin=)之外,没有任何页面可访问。谢谢你,Kon,请你建议将文本作为参数=)
<font> TEXT TEXT