Re: [討論] 大家對SQL injection的有效防制方法怎 …
我現在也被ASP.NET 1.1 datagrid & SQLServer搞的很煩
一些在2.0很容易做到的功能
1.1的ADO.NET就得花很多步驟
像是一個最基本的
SQL裡面一個表格 要秀出來 編輯 新增 刪除
datagrid的碼就會寫到瘋掉
我覺得2.0幾乎都不用寫到一行程式碼吧
上網查了那些好用的grid控制項
最少也都從幾千塊起跳
如果一年前有需要用到 還有可能會買 現在還是來等2.0好了
而我手邊在做一個購物網站
使用者介面為了往後的擴充性 穩定性
採用了三層式架構 包括你提到的store procedure
這些方法的確是在軟體工程要求上 達到一個水準
可是等我做到後端的管理者介面時候
我就已經懶了
管他三層不三層
全部的碼都擠進表現層裡面 反正管理介面變動機會那麼小 而且就一個站長在管
很多東西都用VS .NET 2003內附的功能完成
例如用他去設定dataset
設定SQLDataAdaptor 沒事就來fill一下dataset
也不考慮效能了
呼 感覺真是大快人心 每天在寫程式都在考慮東考慮西 頭都快炸了
難得能夠亂寫一通的
順便問大家一下
有人開發過購物車系統嘛?
.NET上面有什麼cp值高 或是免費的套件呢?
其他語言有出什麼功能強大的套件嘛?
我想要跟我的系統比較看看
謝謝大家
※ 引述《tomex (tomex_ou)》之銘言:
: ※ 引述《sunflier (叮噹)》之銘言:
: : 若是要將讓程式去接觸到sql server的時候,總免不了
: : 會要考慮到sql injection的問題。
: 記得買本書先看~
: 我買書,若看到作者執行sqlcommand沒有避開sql injection
: 我就不會買那本。
: 答案是使用SqlParameter,如:
: int id = 1;
: cmd.CommandText = "DELETE FROM table WHERE id=@id";
: cmd.Parameter.Add("@id", id)
: cmd.ExecuteNonQuery();
: 反推,我學java時也會注意sql injection的問題
: 它沒強調,但其PreparedStatement能避開,我測過!!
: 學php時,至目前只能用addslashe()一個一個加,蠻原始的。
: 至於asp,看書說有parameter物件,但不知怎麼用...
: 以上,是我大概學主流web語言的經驗。
--
生物資訊研究室:每天都會更新文件,提供生物資訊教學,生物字典。
http://www.bioinformatic.idv.tw
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.109.73.177
※ 編輯: seagal 來自: 140.109.73.177 (04/04 01:06)
討論串 (同標題文章)
C_Sharp 近期熱門文章
PTT數位生活區 即時熱門文章
