ASP中常用的逸出字元及編碼、測試時應注意的幾個要點__編碼

ASP中最常用到的逸出字元有：<(&lt;), >(&gt;), "(&quot;), '(&#039;), etc. 編碼說明如下： Form表單資料入庫之前，應注意的主要是'(單引號），因為一般的SQL語句中是用單引號界 定字串的，如果收集來的字串中的單引號不做處理，容易造成SQL語法錯誤。 處理方法是，編寫統一的處理函數，將一個單引號替換成兩個連續的單引號即可，如 function formatText( ByVal theText ) theText = Replace(theText,"'","''") formatText = theText end function   從資料庫讀出資料時，特別注意的是",<,>等的處理，分別說明如下： 雙引號的處理在以下情況會用到， <%event_desc = rs("event_desc")%> <input type="text" name="event_desc" value="<%=event_desc%>"> 如果rs("event_desc")的值是abc"test"123，上面的語句最終將是這樣， <input type="text" name="event_desc" value="abc"test"123">，在IE中看一下，我 想錯誤之處是明顯的，為避免次情況出現建議將上面第一條語句改為如下， <%event_desc = replace(rs("event_desc"),"""","&quot;")%> 當然，如果輸出語句是下面的情況，則同時需要處理單引號。 <% event_desc = rs("event_desc") response.write "<input type='text' name='event_desc'" value='" & event_desc & "'>" %> “<>”需要處理，我想就更不用多說了吧，否則輕則網頁格式混亂，重則會中了惡意代碼的圈套。 其實，一般只要處理了"<"就可以了，少了"<"，HTML標籤中的">"自然就不起作用了。處理方法，除 了用Server.HTMLEncode()之外，如果還想使自動加上的<BR>等標籤有用時，可以採用資料入庫時先 轉換<，後加如<BR>的方式。