taaa, bedzie mogl wrzucac dowolny tekst, ale co potem?jesli chcesz zeby tekst byl interpretowany przez przegladarke to go zostawiasz, a jesli tekst wrzucany przez uzytkownika ma byc tylko tekstem i nie wplywac na strone jako html to stosujesz HtmlEncode. na msdn jest napisane , ze HtmlEncode bierze jako argument "This is a <Test String>." i zwraca "This is a &lt;Test String&gt;.". wiec to chyba jasne.linq jest zabezpieczony przed sql injection zreszta jak mysle ze wiesz, SqlParameter chroni Cie przed sql injection, a linq korzysta wlasnie z niego. wiec odpowiedz brzmi: nie, nie  musisz sie chronic przed niepozadanymi stringami w linq.jak to juz gdzies czytalem do polskich znakow prz odpowiednim collation wystarczylby char(255) albo varchar(255), przy czym to zalezy jak specjalne beda te znaki, a rozniaca miedzy char i varchar jest tylko taka, ze  varchar przy krotszym stringu bedzie mial automatycznie mniejsza wielkosc w bazie.nie zapomnij o substringowaniu stringow :D

Czyli jeśli bym chciał zastosować u siebie takie proste BBCode'y, to :1. Wrzucam tekst jak leci - przy czym znaczniki BBCode w nawiasach [ ].2. Po pobraniu z bazy przepuszczam przez HtmlEncode.3. Zamieniam [ ] na < > i wrzucam na stronę.Tak?A HtmlDecode kiedy używać jeśli w ogóle używać?I czy przy standardowym Membershipie mam się obawiać znaczników html, np. w loginie użytkownika. Dajmy na to, że ktoś się zarejestruje: <a href=www.wp.pl>Bla</a>

http://msdn.microsoft.com/en-us/library/w3te6wfz.aspxmowi samo za siebieHtmlDecode uzyjesz jesli bedziesz mial tekst na ktorym zrobiles HtmlEncode i bedziesz chcial go wyswietlic dajmy na to w winforms, bo nie beda Cie interesowac rzeczy typu <Szczerze to nie wiem, czy mozna zrobic xss w membership ale tak czy inaczej zalecalbym HtmlEncode przed dodaniem usera