打算:方法一:保存在数据库之前,应该先用server.HtmlEncode()方法,把<等转换为html编码<
然后再入库(从源头抓起),这样作为数据源显示在页面中,比如评论内容,显示的是文本html编码后的<script></script>,也就是看上去是字符串,不会当作html和js解析,原本意图失败.
输入关键字查询的时候,用SqlParameter会把输入的字符当成一个整体的字符串,不会被注入。显示查询关键字<script>xxx结果:,同样HtmlEncode,在显示。
方法二:写一个公共方法,把关键字替换为 "" 或html编码后的字符。(但是难保漏网之鱼)
常用转译字符:
半方大的空白    
全方大的空白    
不断行的空白格  
< 小于 < <
> 大于 > >
& &符号 & &
" 双引号 " "
? 版权 © ©
? 已注册商标 ® ®
? 商标(美国) ? ™
× 乘号 × ×
÷ 除号 ÷ ÷