با سلام به دوستان
در مورد دستورات injection من با این روش جلوی حمله رو می گیرم

string Title1 = Request.QueryString["id"].ToString();
Title1 = Title1.Replace("'", "''");
Title1 = Title1.Replace("having", " ");
و......


اما در مورد دستورات XSS نمی شه به این صورت عمل کرد یعنی این روش تاثیری در اون نداره و باعث می شه که یه خطا ایجاد بشه با try این حرفا هم نمی شه از بروز حطا جلو گیری کرد
A potentially dangerous Request.QueryString value was detected from the client (id="<script>").

حالا چطوری می شه جلوشو گرفت؟

برای جلوگیری از injection
1 - استقاده از پرسیجر
2 - تبدیل id به مقدار int و نه string
3 - و مسائلی که آقای راد گفتن

برای جلوگیری از injection
1 - استقاده از پرسیجر
2 - تبدیل id به مقدار int و نه string
3 - و مسائلی که آقای راد گفتن

- درست می گی ولی سوال من XSS نه injection
- موارد بالایی که گفتی رو من رعایت می کنم اینم که string نوشتم بخاطر اینکه مقدار رشته ای تو ID هست

- یکی جواب XSS بده

- یکی جواب XSS بده

http://barnamenevis.org/forum/showpost.php?p=451357&postcount=17

خوب بعد از بررسی های لازمه فهمیدم چی کار باید کرد
1- اینو دانلود می کنی Anti-Cross Site Scripting Library V1.5
2- dll اونو به پروژه اضافه می کنی
3- اینم کد

String Name = AntiXss.HtmlEncode(Request.QueryString["Name"]);

اینو هم بهروز گفته بود ولی نتونستم باش جواب بگیرم

برای کد کردن URL از متد UrlEncode کلاس HttpUtility استفاده کنید.

باتشکر از مهرداد

اینو دانلود می کنی Anti-Cross Site Scripting Library V1.5

http://msdn2.microsoft.com/en-us/security/aa973814.aspx

برای کد کردن URL از متد UrlEncode کلاس HttpUtility استفاده کنید
اینو هم بهروز گفته بود ولی نتونستم باش جواب بگیرم

باتشکر از مهرداد

این متد تو کلاس server هم وجود داره و نیازی به نمونه سازی هم نداره ولی دقیقا همونه و کار باهاش خیلی ساده هست مشکل شما چیه؟؟؟