作者tomex (tomex_ou)
看板C_Sharp
标题Re: [讨论] 大家对SQL injection的有效防制方法怎 …
时间Mon Apr 4 07:21:33 2005
※ 引述《seagal (待救的小米)》之铭言:
: SQL里面一个表格 要秀出来 编辑 新增 删除
: datagrid的码就会写到疯掉
因为高客制化的需求,我没有使用datagrid的edit模式
都是跳到另一页处理dml部分。
: 我觉得2.0几乎都不用写到一行程式码吧
: 上网查了那些好用的grid控制项
: 最少也都从几千块起跳
: 如果一年前有需要用到 还有可能会买 现在还是来等2.0好了
我对期待2.0提供更强的功能。
: 使用者介面为了往後的扩充性 稳定性
: 采用了三层式架构 包括你提到的store procedure
: 这些方法的确是在软体工程要求上 达到一个水准
: 可是等我做到後端的管理者介面时候
: 我就已经懒了
: 管他三层不三层
我以前也是这样,过年时决定解决这样的乱象
就好好写了一个很有结构化的後台管理系统(称为cms),
定义user的权限、讯息handler、新增/修改/删除…等权限
我花很多时间思考这系统的架构open性,让它尽量适用各种网站的基础
事先撰写很多DAO(data access object) class来处理前端的事件
虽然有时也是为需求而乱写,但基本精神没有违反三层架构
因为每隔一段时间,我会思考某些东西能否包成class作呈现!
尽量把前端的event拉到後面class去做。
: 全部的码都挤进表现层里面 反正管理介面变动机会那麽小 而且就一个站长在管
: 很多东西都用VS .NET 2003内附的功能完成
: 例如用他去设定dataset
: 设定SQLDataAdaptor 没事就来fill一下dataset
: 也不考虑效能了
基本效能写作考虑一下就好,
其余的别想太多,求开发速度吧! 每天都会创造不同的想法哩...
: 有人开发过购物车系统嘛?
: .NET上面有什麽cp值高 或是免费的套件呢?
PHP有一套免费的购物网站,叫做osCommerce
你可以参考它的架构写.net程式
像我的cms平台也深受vBulletin这套论坛程式的影响
好多db及ui都是学它的精神的!
这些产品都是千捶百链的,很棒...
: ※ 引述《tomex (tomex_ou)》之铭言:
: : 记得买本书先看~
: : 我买书,若看到作者执行sqlcommand没有避开sql injection
: : 我就不会买那本。
: : 答案是使用SqlParameter,如:
: : int id = 1;
: : cmd.CommandText = "DELETE FROM table WHERE id=@id";
: : cmd.Parameter.Add("@id", id)
: : cmd.ExecuteNonQuery();
: : 反推,我学java时也会注意sql injection的问题
: : 它没强调,但其PreparedStatement能避开,我测过!!
: : 学php时,至目前只能用addslashe()一个一个加,蛮原始的。
: : 至於asp,看书说有parameter物件,但不知怎麽用...
: : 以上,是我大概学主流web语言的经验。
--
贯彻分享精神
我为人人,人人为我
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 140.119.183.211