SQL AzureでEF 4.1でAsp.NET MVC 3を使用しています。私はlinq式とストアドプロシージャの両方を持っています。
ここで、etc などのすべての特殊文字を"';&<>/入力できるようにして、データベースに保存する必要があります。ただし、レンダリングするときは、HTML としてレンダリングしないでください (つまり、テキストとしてレンダリングする必要があります)。SQL インジェクションと XSS 攻撃を防ぐにはどうすればよいですか?
私の懸念は、いつラベルに表示する@Html.TextBoxForか@Html.EditorFor、またはラベルに表示するかです。入力する文字種に妥協したくない。これにアプローチする方法を提案してください。