セキュリティハイパーリンクが私のGridView

Question

であり、私は（私はあなたに示すために、少しの変更）細胞の一つで、このテキストを見て今日はいくつかのデータを

のみGridViewコントロールが含まれている私の会社ではページがあります

[div style="display:none"]discount online BLABLABLA[a href="http://www.[randonURL].net/page/[randompage].aspx"]click[/a] new prescription  coupon[/div] 

私はこのテキストを検索し、何とか、誰かが私のデータベース、彼はそれを作った方法

でこれを挿入？...私はそれについて何ができますか？

Answer 1

これは、古典的なSQLインジェクションのようです。あなたがそれを防ぐためにできることはいくつかあります。ここにいくつかあります。私はそれを読むことをお勧めします。

1. データベースメソッドでは、常にパラメータ化されたSQL、ストアドプロシージャ、またはORMを使用します。動的SQLを使用しないでください。まれなケースでは、それを保護する方法もあります。しかし、これはかなり長い議論です。
2. 常にユーザー入力をエンコードします。 JavaScriptの場合、encodeURI（）メソッドを使用します。サーバー側では、HtmlDecode（）メソッドを使用します。
3. パブリックドメインにエラーの詳細を表示しないでください。これは、ハッカーたちが使用できる手がかりを与えます。