瀏覽單個文章
sazabijiang
*停權中*
 

加入日期: Sep 2004
您的住址: 台北
文章: 8
引用:
作者ivantw
說到SQL injection,當初考慮許久,考慮Web以及Ap程式碼的通用性,忍痛把整個系統架構都改掉,SQL部分,改為SQL Command + Parameters的寫法。

為增加彈性,採用Ap <-> Bo <-> Dao <-> DbObj <-> DB架構。
底層DB存取元件,可根據傳入的DataSet或DataTable(開發工具為VS.Net)自行產生 SQL Command 以及 Parameter,並具備Transaction功能,這部分花費了不少功夫。

而Dao以及Bo由於大部分的Code都很類似但又無法繼承,所以採用偷懶的方法 - 自己撰寫一個程式產生器,Dao/Bo的Code由程式產生器來作產出,需要修改的地方再手動修改。這樣花費的心力不到原本的1/10。

唉,真是走錯行了。


阿..我比較偷懶, 把所有從web form收到的value, 一律用replace函數把單引號取代掉.. XD
舊 2008-12-04, 01:57 PM #9
回應時引用此文章
sazabijiang離線中