Как экранировать вводимые пользователем данные?

Question

[User99]

Работаю в связке ASP.NET Core C#+Dapper
Пользователи регистрируется в системе. Нашел в базе записи как < script>alert('sss')cript> и т.п.
Вопрос нужно ли экранировать вводимые пользователем данные? Если да то как это сделать?
средствами C# или Dapper? можете ли несколько примеров дать?

Comments

[User99]

создал интерфейс репозиторий. и на нем обращаюсь через даппер

public async Task<int> AttendanceDetailsDelete(long ID)
        {
            return await WithConnection(async conn => {
                await conn.ExecuteAsync(@"DELETE FROM provider.attendances_detail WHERE id=@id", new { id = ID });

                return (await conn.QueryAsync<int>(@"SELECT COUNT(*) FROM provider.attendances_detail WHERE id=@id", new { id = ID })).FirstOrDefault();
            });
        }

Answer 1

[Василий Банников]

Вопрос нужно ли экранировать вводимые пользователем данные? Да.

Если да то как это сделать?
средствами C# или Dapper?

На фронте. В базу сохраняй как есть, а вот когда будешь это кому-то показывать- используй HTML entity

Comments

[Kirgus]

Так пользователь может подменить полностью фронтенд на свой кастомный клиент и будет слать неэкранированные данные. Разве не так?

[Василий Банников]

Кирилл Гусарев, Ну так а тебе то какая разница, какие данные твой пользователь шлёт? Какие проблемы alert("sss") может сделать на бэке?
Нет никакого смысла экранировать данные при получении - их надо экранировать при показе.

Если пользователь подменяет фронт - ССЗБ

[Kirgus]

Василий Банников, хм... Точно, ты прав