想知道我應該在將數據放入數據庫還是顯示給用戶之前對所有數據進行編碼?或兩者。Html輸入數據時的編碼?還是輸家或兩者?
現在我會向用戶展示它。我使用的是asp.net mvc 2.0,所以我通常只需要編寫一切<%: %>
。
我不確定兩者,雖然這可能是一個有點極端做到這一點。
此外,我真的只需要注意用戶輸入字符串權利?
就像我剛剛遇到一個問題,其中我的插件之一由於某種原因不能出於某種原因弄清楚如何日期如果日期是HTML編碼。
我只是把它編碼沒有想到。現在有人向我指出,這樣做沒有什麼意義,因爲我將日期從數據庫中取出,並在數據庫中將其存儲爲日期時間。所以不能真的存儲在那裏的JavaScript。
所以我猜我真的沒有這些編碼(糾正我,如果我錯了)
INT,位(布爾變量),dataetimes,小數類型如果存儲在數據庫中的這種方式。
如果它不影響我的任何插件,我仍然可以對它們進行編碼,但很高興知道我可能不需要。
通常,當數據已經被解碼時,你會得到數據,你把它放在數據庫(或其他)中,像你說的那樣,語法會在顯示時處理它。由於這種語法,你不需要擔心其他地方的編碼/解碼問題(至少在絕大多數情況下) – 2010-07-16 21:55:55