【发布时间】:2010-02-24 22:32:09
【问题描述】:
我发现这种技术可以缩短一些编码时间。在我看来,不必重新创建与数据库相关的语句以及用于 web 控件的表单绑定器确实很有趣。但我想知道它是否应该被视为非 Intranet 项目的主要安全风险,因为它向用户显示了数据库结构
现在我知道这个问题可能没有一个独特的纯粹客观的答案,但我希望将其标记为主观并使其成为社区 wiki 足以让它保持开放并获得一些 关于它的技术考虑
【问题讨论】:
-
“向用户展示数据库结构”是什么意思? ASP.NET html 代码看起来很标准,而用户看到的是修改后的版本。我没有看到任何特别可怕的东西。
-
我的意思是你会知道映射到 web 控件的所有字段名称。在任何情况下都可以吗? (诚实的问题,没有讽刺的意思)
-
这是一个有趣的问题。我还没有看到很多关于需要隐藏控件 ID 以使控件 ID 与数据库名称不匹配的讨论。当然,如果他们确实匹配,那么使用起来会容易得多。如果表命名为DatabaseTable,列命名为DatabaseColumn,控件命名为Control$DatabaseTable$DatabaseColumn,是否存在安全风险?需要考虑的事情。
标签: asp.net security ironpython