将HTML数据插入SQL Server_Html_Sql Server_Insert Update

将HTML数据插入SQL Server

html sql-server

将HTML数据插入SQL Server,html,sql-server,insert-update,Html,Sql Server,Insert Update,我在将HTML数据插入SQL Server时遇到问题。详情如下: 这是我的存储过程 @articleID int, @articleBody nvarchar(max) AS UPDATE v2_Articles SET articleBody = @articleBody WHERE articleID = @articleID 这是我用来插入数据的asp代码 x_articleBody = Replace(Replace(Request.Form("x_articleBody"), CH

我在将HTML数据插入SQL Server时遇到问题。详情如下:

这是我的存储过程

@articleID int,
@articleBody nvarchar(max)
AS

UPDATE v2_Articles SET articleBody = @articleBody WHERE articleID = @articleID

这是我用来插入数据的asp代码

x_articleBody = Replace(Replace(Request.Form("x_articleBody"), CHR(34), """"), "'", """")

Connection.Open(ConnStr)
Connection.Execute("EXEC InsertBody @articleID = " & aID & ", _
@articleBody = '" & x_articleBody & "'")            
Connection.Close()

这是我插入的数据

<font> TEXT TEXT &nbsp;&nbsp; TEXT TEXT</font>

这意味着在处理之后，sql表会发生如下变化：

<font> TEXT TEXT

文本

对此有什么想法吗

另外，我正在使用nicedit文本编辑器生成html数据

首先，不要使用嵌入式SQL—这样做会给自己带来额外的麻烦，因为您必须经历这种数据清理混乱，并且您的应用程序将面临潜在的风险

创建一个以文本为参数的存储过程，并使用它保存HTML标记

这是各种各样的坏消息。为什么要在数据库中保存HTML？你在验证你的论点吗？如何防止保存恶意HTML？您应该使用存储过程，而不是动态SQL。因为没有人可以插入任何恶意的HTML，这是本地应用程序，除了admin=）之外，没有任何页面可访问。谢谢你，Kon，请你建议将文本作为参数=）

<font> TEXT TEXT