は、我々は次のようにアクションメソッドでそれらをサニタイズする必要があります。アクションメソッドに渡される文字列以外のパラメータをサニタイズする必要がありますか?文字列パラメータの場合
public ActionResult Browse(string genre)
{
string message = HttpUtility.HtmlEncode(genre);
return View(message);
}
は、次のように非文字列のparamsをサニタイズすることが必要ですか?
public ActionResult Details(int id)
{
int data = int.Parse(HttpUtility.HtmlEncode(id));
return View(data);
}
消毒のように見えていないことを、あなたはのparamsをコードHtmlのです。サニタイズとは、ユーザーからの入力を浄化することで、データベースを高品質にするものではありません。 HTMLエンコーディングは、間違った文字が表示されないようにします。実際にはintであることを保証できるので、intをエンコードしないと害はありません。私は変数にどのような型があるのかわからないPHPに慣れています。 – Endophage