紧急求救，关于数据访问安全

#region   获取标准工时  
  public   DataTable   getStandWorkTime(string   mater_no,string   shop_name)  
  {  
  string   sqlString="select   plan_work_time   from   tr_mo_wt_plan   where   modelname   ='"+mater_no+"'   and   shop_name   ='"+shop_name+"'";  
  try  
  {  
  return   OracleHelper.ExecuteDataset(WMSConfiguration.ConnectionString,CommandType.Text,sqlString).Tables[0];  
  }  
  catch(Exception)  
  {  
  return   new   DataTable();  
  }  
  }  
  #endregion  
   
  以上数据访问安全吗？如何解决? 问题点数：20、回复次数：6Top

1 楼Knight94（愚翁）回复于 2006-03-14 10:40:52 得分 5

你所谓的安全是指哪方面  
  1、如果是指oracle操作方面，那么不这么写，所有的app都无法对数据操作了；  
  2、如果是指本身的程序语句方面，那我建议向sql传进参数而不用直接写sql语句，以防止有些变量含有sql的特殊字符；Top

2 楼zahuifan（杂烩饭）回复于 2006-03-14 11:19:05 得分 0

安全Top

3 楼lovvver（ElephantTalk.Bright）回复于 2006-03-14 11:25:47 得分 5

对普通数据传输是不加密的，如果你要是认为不安全的话，你可以加密后传输。Top

4 楼grayhoundd（斜塘西马）回复于 2006-03-14 18:18:22 得分 0

难道大家都不知道存在注入漏洞吗?Top

5 楼Silenthunter（爱XX 爱XX）回复于 2006-03-14 18:23:08 得分 10

SQL   Inj用传参就好了     还可以在web.config里面注册一个处理器   过滤所有的http请求  
  代码访问安全要看整个项目的面向对象架构了Top

6 楼grayhoundd（斜塘西马）回复于 2006-03-15 18:32:14 得分 0

顶Top

相关问题

• 安全
• sql
• 方面
• shop

• 帖主：grayhoundd
• Knight94
• lovvver
• Silenthunter

• CSDN .NET频道
• .NET类图书
• C#类图书
• .NET类源码下载