实战 .Net 数据访问层 - 19
新客网 XKER.COM 2004-06-20 来源: 收藏本文
6. ASPECT
AOP(Aspect Oriented Programming)可能是最近几年被挖掘出
来的最具震撼力的技术之一,作者并不打算在此花什么篇幅介绍它(网上资料已多如牛毛),只是希望借用其ASPECT概念来说明几个设计Data Access Layer时必须考虑的问题(也是在进行系统架构设计前不得不考虑的几个重要因素!):
(1) Security
把它排在ASPECT首位相信大家没什么疑义吧!
虽然,Business Logic已为我们搞定了太多的Security Issues,但那个长久挥之不去的“ConnectionString阴影”还是会成为不少开发人员心中永远的“不爽”!
有位同事告诉我,微软曾有一个号称8万人难以攻破的ASP.NET应用程序,它的ConnectionString居然就是存在了Registry中(别忘了禁用Remote Registry服务)!这样的双重保护(另一重是对ConnectionString进行加密处理)是多么简单却实用啊!
在很多时候,As Simple As Possible才是我们应该真正追求的目标。
另一个需要注意的问题就是如何应对SQL Injection(SQL注入)攻击!
一个经典的例子如下所示:
string strSql = "select * from user where" +
" username = '" + strUserName +
"' and password = '" + strPassword;
在这里,采用Dynamic SQL本身并无调用上的逻辑问题,但却给了Cracker以可乘之机:如果系统没有针对strPassword做过任何数据校验,当用户试着输入“abc”作为username,“123’ or 1 = 1”作为password时,那就不得不遗憾的告诉您:该系统已被成功攻破,请迅速发布新的补丁程序!
虽然这个例子很简单,但已提醒我们:小小的SQL语句也会成为系统漏洞的“重要来源”!
在这种情况下,避免产生危机的方法也很简单:使用Stored Procedure或者Parameter Collection(你不会告诉我准备把这个责任推给毫无SQL经验的Business Logic人员吧J)。如果系统架构时没有准备采用Stored Procedure或者开发人员很不习惯使用Parameter Collection(坦率地讲,我也不喜欢这个东东),那也有个稍微麻烦点的Solution(当然不推荐采用):
i. 仅使用username拼装Dynamic SQL;
ii. 判断返回纪录数是否为1(假定username为unique column);
iii. 如果记录数为1,取出password数据;
iv. 判断用户输入之password是否与查询返回之password匹配。
限于篇幅,这里只讨论了两个比较常见的问题,当然是远远不能覆盖Security的全部精髓,只是为了表明一个观点:Security实在是非常非常重要,切勿等闲视之!
(2) Transaction
这是个避无可避的东东,要发现它的问题有一定难度,且不易于测试!作者不准备就此展开,大家只有通过实战积累经验了。
另外,到底是用System.EnterpriseServices还是Connection.BeginTransaction + try-catch,依然会使很多.NET开发人员产生困惑,作为系统架构设计的一部分,这也是个必须充分考虑的问题!
(3) Logging
日志不是个要不要的问题,而是怎么做的问题。
Log4Net已经很不错了,不会还想亲自动手做一个吧!
(4) Exception
这是个“无底洞”,看你怎么设计了。
就作者经历的项目,主要采用这么两种方式:
i. one throw,one catch,no re-throw
这个最简单了,不需要太复杂的Exception Inheritance Hierarchy,处理起来也比较轻松;
ii. one throw,multi-catch,multi-re-throw
复杂应用可能采用这种模式更多些,需要一大堆的Exception Classes和令人望眼欲穿的try-catch,但可能在扩展性和容错处理方面会表现得更为出色(可苦了咱们开发人员L)!
暂时就想到这些,如有什么遗漏,欢迎大家补充。
下一段:http://www.csdn.net/develop/Read_Article.asp?id=27564
AOP(Aspect Oriented Programming)可能是最近几年被挖掘出
来的最具震撼力的技术之一,作者并不打算在此花什么篇幅介绍它(网上资料已多如牛毛),只是希望借用其ASPECT概念来说明几个设计Data Access Layer时必须考虑的问题(也是在进行系统架构设计前不得不考虑的几个重要因素!):
(1) Security
把它排在ASPECT首位相信大家没什么疑义吧!
虽然,Business Logic已为我们搞定了太多的Security Issues,但那个长久挥之不去的“ConnectionString阴影”还是会成为不少开发人员心中永远的“不爽”!
有位同事告诉我,微软曾有一个号称8万人难以攻破的ASP.NET应用程序,它的ConnectionString居然就是存在了Registry中(别忘了禁用Remote Registry服务)!这样的双重保护(另一重是对ConnectionString进行加密处理)是多么简单却实用啊!
在很多时候,As Simple As Possible才是我们应该真正追求的目标。
另一个需要注意的问题就是如何应对SQL Injection(SQL注入)攻击!
一个经典的例子如下所示:
string strSql = "select * from user where" +
" username = '" + strUserName +
"' and password = '" + strPassword;
在这里,采用Dynamic SQL本身并无调用上的逻辑问题,但却给了Cracker以可乘之机:如果系统没有针对strPassword做过任何数据校验,当用户试着输入“abc”作为username,“123’ or 1 = 1”作为password时,那就不得不遗憾的告诉您:该系统已被成功攻破,请迅速发布新的补丁程序!
虽然这个例子很简单,但已提醒我们:小小的SQL语句也会成为系统漏洞的“重要来源”!
在这种情况下,避免产生危机的方法也很简单:使用Stored Procedure或者Parameter Collection(你不会告诉我准备把这个责任推给毫无SQL经验的Business Logic人员吧J)。如果系统架构时没有准备采用Stored Procedure或者开发人员很不习惯使用Parameter Collection(坦率地讲,我也不喜欢这个东东),那也有个稍微麻烦点的Solution(当然不推荐采用):
i. 仅使用username拼装Dynamic SQL;
ii. 判断返回纪录数是否为1(假定username为unique column);
iii. 如果记录数为1,取出password数据;
iv. 判断用户输入之password是否与查询返回之password匹配。
限于篇幅,这里只讨论了两个比较常见的问题,当然是远远不能覆盖Security的全部精髓,只是为了表明一个观点:Security实在是非常非常重要,切勿等闲视之!
(2) Transaction
这是个避无可避的东东,要发现它的问题有一定难度,且不易于测试!作者不准备就此展开,大家只有通过实战积累经验了。
另外,到底是用System.EnterpriseServices还是Connection.BeginTransaction + try-catch,依然会使很多.NET开发人员产生困惑,作为系统架构设计的一部分,这也是个必须充分考虑的问题!
(3) Logging
日志不是个要不要的问题,而是怎么做的问题。
Log4Net已经很不错了,不会还想亲自动手做一个吧!
(4) Exception
这是个“无底洞”,看你怎么设计了。
就作者经历的项目,主要采用这么两种方式:
i. one throw,one catch,no re-throw
这个最简单了,不需要太复杂的Exception Inheritance Hierarchy,处理起来也比较轻松;
ii. one throw,multi-catch,multi-re-throw
复杂应用可能采用这种模式更多些,需要一大堆的Exception Classes和令人望眼欲穿的try-catch,但可能在扩展性和容错处理方面会表现得更为出色(可苦了咱们开发人员L)!
暂时就想到这些,如有什么遗漏,欢迎大家补充。
下一段:http://www.csdn.net/develop/Read_Article.asp?id=27564
上一篇:实战 .Net 数据访问层 - 18 下一篇:实战 .Net 数据访问层 - 21
最新相关文章- ·身份证函数 查看身份证地区信息
- ·VS2008 第一次安装心得及使用
- ·ASP.NET 2.0跨网页提交的三法
- ·编程实例 WebGroupBox(Aspx控件)
- ·asp.net mvc脚手架代码生成工具
- ·用独立的DLL来存储图片(资源文件)
- ·ASP.NET中多国语言的实现方法
- ·实例 .net生成静态页方法总结
- ·ASP.NET控件学习笔记之ViewState
- ·用递归在TreeView价节点
- ·经验总结 关于.NET 中的Event机制
- ·.NET应用程序开发标准化(z)
- ·在DataTable中查询应该注意的问题
- ·LINQ 中调用存储过程自动绑定列名
- ·如何用.NET技术在线生成网站LOGO
- ·对于访问IIS元数据库失败的解决
发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
- Asp.net Ajax 中的脚本错误: Sys未定义 的解决方
- 身份证号码15位升18位(C#)
- asp.net ajax学习系列功能强大的UpdatePanel控件
- Web Service描述语言 WSDL 详解(1)--为什么使用WS
- Asp.Net Unleashed 2nd Edition 学习笔记 第三部
- UpdatePanel与UrlRewrite
- DataGridView 的分页处理
- 从资源文件里加载文件(C#)
- Javascript与asp.net 实现Ajax多文件无刷新上传
- 关于ASP.NET调用JavaScript的实现
- asp.net面试试题收集
- 基于ASP.NET AJAX的WebPart开发与部署
- 在VC++应用程序中读取文本数据
- Huffman 编码简介(讲解的更好一些,有C的分析)
- 技巧 .NET如何访问MySQL数据库
随机推荐
- 在.NET中使用静态变量来代替Application变量
- [原创]XSL学习心得 - 调用属性值
- ASP.NET 2.0高级数据处理之冲突检测
- Visual Basic 6.0 控件和 .NET 控件的区别
- 跳出封装剖析ASP.NET脚本回调的原理
- 坚持学asp.net——(七)
- 通过自定义类来达到向aspx页面加入脚本代码的例子
- 实现类似Windows资源管理器的DataGrid
- c#里面的namespace基础(一){转载}
- XML在Web中的简单应用
- 将文本藏入图片
- Wrox的C#高级编程第三版第一部分第一章(16~18页
- Global.asax 和 HttpApplication 类
- 在vb中实现超连接的方法!和直接发邮件!
- 四种整数数据类型的性能对比
实用信息推荐