替换为 HTML ascii 代码

【问题标题】:Replace with HTML ascii codes替换为 HTML ascii 代码
【发布时间】:2010-10-17 02:50:47
【问题描述】:

我遇到了问题。写了如下代码sn -p:

teksti = teksti.Trim()
teksti = Replace(teksti, "<", "& lt;")
teksti = Replace(teksti, ">", "& gt;")
teksti = Replace(teksti, """", "& quot;")
teksti = Replace(teksti, "'", "& #8217;")
teksti = Replace(teksti, "%", "& #37;")
teksti = Replace(teksti, "&", "& amp;")
teksti = Replace(teksti, "#", "& #35;")
teksti = Replace(teksti, "@", "& #64;")

写完这篇文章后,我意识到这成了它自己的问题。该函数应该使 HTML 和 SQL 注入的信息安全(还有其他方法,参数化查询等,但这不是重点)。但是会发生什么,它首先用&amp; lt; 替换&amp;lt;,然后再次替换新写入的字符串,因为每个替换字符串都有&、# 和;签到。

有什么提示吗?我考虑过为此使用正则表达式,但我找不到任何足够简单的像样的 Visual Basic 示例。

编辑:感谢您的提示。我确信会有一种“聪明”的简单方法来做到这一点,但我想毕竟没有可用的通用方法。首先重新安排问题案例是这里明显的解决方案,谢谢。我想工作日太长了,我没有注意到。 :D

至于参数化查询,回头查看我发现我的英语没有按预期输出。我的意思是说我已经在使用它们,这里的这个问题是为了防止以后在其他地方使用相同的字符串进行各种 html 注入和可能的 sql 注入。再次感谢您的帮助。

【问题讨论】:

    标签: html vb.net ascii


    【解决方案1】:

    如果这是 .NET,您可能会改为查看 System.Web.HttpServerUtility.HtmlEncode

    如果您使用的是 VBScript/VB6,只需将 & 和井号移到此列表的顶部,不要依赖此功能来保护您免受 sql 注入。您仍然需要参数化查询。

    【讨论】:

      【解决方案2】:

      如果您使用的是 VB.NET,您正在寻找 System.Web.HttpUtility.HtmlEncode(string)

      否则,我将一次循环遍历字符串一个字符并构建一个新的编码字符串,并随时替换。这样,您只需要遍历字符串和每个字符的 case 语句,并且您不会重新编码已编码的字符。

      【讨论】:

      • 它可以在 System.Web 中以任何 .Net 语言使用
      • 当然。 OP专门说VB,所以我只是在限定哪种VB。
      【解决方案3】:

      您可以重新排序以将问题案例放在首位。 或者您可以遍历字符串并通过依次分析每个字符并附加它或它是所需的替换来构建一个新字符串。 否则,您可以为此使用现成的库/函数,尽管我不精通这种语言,所以无法命名。

      【讨论】:

        【解决方案4】:

        按照其他人的建议重新排序。如果您发现两个相互冲突且无法通过重新排序解决的情况,请添加额外的替换,如下所示:

        teksti = teksti.Trim()
teksti = Replace(teksti, "&", "THISISANAMP")
teksti = Replace(teksti, ";", "& #59;")
teksti = Replace(teksti, "#", "& #35;")
teksti = Replace(teksti, "THISISANAMP", "&amp;") ''newly added
teksti = Replace(teksti, "<", "& lt;")
teksti = Replace(teksti, ">", "& gt;")
teksti = Replace(teksti, """", "& quot;")
teksti = Replace(teksti, "'", "& #8217;")
teksti = Replace(teksti, "%", "& #37;")
teksti = Replace(teksti, "@", "& #64;")

        这是更改代码的最简单方法。

        【讨论】:

          【解决方案5】:

          先替换 & 字符,然后替换 # 字符。之后可以安全地更换其他人。

          但是,这不是防止 SQL 注入的好方法。最好使用参数化查询来完成。你的代码中有一些字符不需要对 HTML 进行编码,如果你对它们进行编码以防止 SQL 注入,那么你就走上了危险的道路。这会使 SQL 注入更难完成,但这不是一种安全的方法。

          此外,如果您在将文本放入数据库之前对其进行编码,则以后可能会遇到问题。最好将文本原封不动地存储在数据库中,并在显示文本时注意 HTML 编码。

          【讨论】:

            【解决方案6】:

            就像之前的帖子中提到的那样,重新排序“替换”应该可以快速解决您的特定问题,并且强烈建议您也查看参数化查询。

            另一个建议是让您查看用于编码的内置 .net 库,特别是 Microsoft.Security.Application.AntiXss 库,我发现它比 System.Web 更好。 HttpUtility.HtmlEncode 因为它使用“白名单”方法而不是“黑名单”方法。

            你可以找到更多关于它的信息here:

            希望这会有所帮助。

            【讨论】:

              【解决方案7】:

              这对我来说很好用:

              yourString = HttpUtility.HtmlDecode(yourString)

              确保导入System.Web

              Table of html character codes

              【讨论】:

                猜你喜欢
                • 1970-01-01
                • 2020-12-14
                • 1970-01-01
                • 2017-01-30
                • 1970-01-01
                • 1970-01-01
                • 2011-11-15
                • 1970-01-01
                • 1970-01-01
                相关资源
                最近更新 更多
                热门标签
                Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode