Comou utilizar HTMLEncode em ASP.NET?

Question

Minha dúvida é a seguinte: tenho um formulário, e preciso fazer com que os campos text box tenham seus valores codifidados para evitar injeção de sql e cross site scripting.

Estou fazendo desta forma:

Dim codifica As String = Server.HtmlEncode(txtNome.text)

Não sei se está correto.

Desde já agradeço a atenção. 

---

Atenciosamente, Marcio Nogueira Cardoso Pinto.

Answer 1

Marcio existem outras técnicas que evitam o sql injection uma delas é nas instruções sql vc usar parametros isso se vc usar ADO, vc usando linq ou entity framework essa possibilidade não existe.

olha esses links

http://www.macoratti.net/sql_inj.htm

http://wiki.locaweb.com.br/pt-br/Como_se_proteger_do_SQL_Injection

http://social.msdn.microsoft.com/Forums/aspnet/pt-BR/4d98b4b6-a217-4227-9504-16ed4181861c/como-evitar-sql-injection

---

Junior

Answer 2

Exemplo 1:

string var1 = WebUtility.HtmlEncode("<html><head><title>EXEMPLO</title></head></html>");
string var2 = WebUtility.HtmlDecode(var1);


Exemplo 2:

string var1 = Server.HtmlEncode("<html><head><title>EXEMPLO</title></head></html>");
string var2 = Server.HtmlDecode(var1);

---

Rafael Boschini

Answer 3

Obrigado a todos, problema resolvido.

---

Atenciosamente, Marcio Nogueira Cardoso Pinto.