problème de conception après addding ce code HTML dans la boîte de texte

Question

j'ai un texte dans mon DB ont une colonne et constains valeur comme cette

<br /><style><br /><!--<br /> 

maintenant quand je suis en train d'afficher cette valeur dans la zone de texte l'ensemble la page de conception est affectée. ma conception ressemble à ceci intially.

<tr> 
          <td width="590" colspan="2"> 
           <div id="divBio" runat="server" style="margin-bottom: 0px; overflow: auto; 
           width: 400px; height: 50px" > 
           </div> 
           <asp:TextBox ID="txtBio" Style="overflow: auto" onchange="fnUpdate();" runat="server" Height="50px" Width="400px" Wrap="true" TextMode="MultiLine"></asp:TextBox></td> 
          </tr> 

après l'obtention de données et en montrant à la page

<tr> 
          <td width="590" colspan="2"> 
           <div id="divBio" runat="server" style="margin-bottom: 0px; overflow: auto; 
           width: 400px; height: 50px"><br /><style><br /><!--<br /></div> 
           <asp:TextBox ID="txtBio" Style="overflow: auto" onchange="fnUpdate();" runat="server" Height="50px" Width="400px" Wrap="true" TextMode="MultiLine"></asp:TextBox>&lt;br /&gt;&lt;style&gt;&lt;br /&gt;&lt;!--&lt;br /&gt;</td> 
          </tr> 

une idée pourquoi mes modifications de conception html une fois ces données figure à la case texte

<br /><style><br /><!--<br /> 

toute aide serait grande

merci Q

Answer 1

Vous ajoutez le début d'un commentaire dans votre page afin que le reste de la page soit mis en commentaire. Vous devez être très prudent lorsque vous insérez des données que vous ne contrôlez pas dans une page. Un commentaire d'ouverture est assez innocent. Supposons qu'un pirate fasse une entrée dans votre base de données avec une balise de script et un script malveillant.

Vous devez encoder vos données en HTML.

<%: db.myData %> // note the colon 

// is short-hand for 

<%= Server.HtmlEncode(db.myData) %>