Vous devez et non compter sur ValidateInput pour 'encoder' vos valeurs. Il n'encode pas les valeurs - il rejette purement et simplement certaines valeurs. Et même si vous l'utilisez, doit toujours encoder toutes vos valeurs qui sont entrées par l'utilisateur et affichées sur le site de quelque façon que ce soit.
En fait, à cause de cela - je n'ai jamais utilisé cette validation moi-même. Par exemple, si tout ce que je faisais s'appuyait sur cette validation, les gens ne seraient pas capables d'entrer des choses très basiques dans des formes comme celle-ci, comme essayer d'afficher un exemple HTML.
Mais même la documentation MSDN et tous les livres que j'ai lus ont dit que la validation ASP.NET pas vous protège contre toutes les entrées malveillantes possibles. Donc, essentiellement, vous pouvez compter sur elle pour protéger vos utilisateurs. Vous devez toujours encoder les valeurs que vous affichez (et vous ne devriez les encoder que lorsque vous les affichez, sinon vous vous retrouverez avec toutes sortes de bugs d'affichage où vous avez des choses à double-encodage)
chose est que j'ai besoin d'accepter le code html dans un seul champ du formulaire, et je ne suis pas sûr quel chemin prendre. – balexandre
N'utilisez pas le 'valider' n'importe où; Peu importe que vous utilisiez la validation intégrée, vous devez toujours encoder les autres champs. Mais assurez-vous de faire ce codage pour ces autres champs. –
donc, si j'utilise 'ValidateInput (true)' je n'ai pas vraiment besoin d'encoder toutes les valeurs, non? – balexandre