本人新手,第一次做商城类网站有很多地方都不太懂
主要是订单这里,3各表,购物车表,订单表,订单详细表
付款页面,点击付款(1)生成订单号,订单号=当前时间+订单表的行数(2)对订单表插入数据(3)对订单详细表插入数据(4)更改购物车里一列,让数据不在显示【这里不知道是删除好,还是隐藏起来好】(5)跳转到选择付款方式页面
这些按照次序都在一个Button1_Click里面完成,不知道这样写对不对,在这里应该做一些什么保险措施另外对数据操作上
OracleConnection conn = new OracleConnection(ConnectionString);
string str = "select * from usertable where name='"+ TextBox1.Text.Trim() +"' and pwd='"+ TextBox2.Text.Trim() +"'";
OracleDataAdapter da = new OracleDataAdapter(str,conn);
DataSet ds = new DataSet();
da.Fill(ds);
全都是这样写的,这是不是就叫做“拼凑SQL”,很容易造成注入性攻击?别人说写成存储过程可以杜绝大部分的注入性攻击。如果一定要用这种“拼凑SQL”的方式应该怎样做防止注入性攻击在51aspx这个网站上下了很多商城类的源码,不是运行不了的,就是看不懂的
求高人指点啊
主要是订单这里,3各表,购物车表,订单表,订单详细表
付款页面,点击付款(1)生成订单号,订单号=当前时间+订单表的行数(2)对订单表插入数据(3)对订单详细表插入数据(4)更改购物车里一列,让数据不在显示【这里不知道是删除好,还是隐藏起来好】(5)跳转到选择付款方式页面
这些按照次序都在一个Button1_Click里面完成,不知道这样写对不对,在这里应该做一些什么保险措施另外对数据操作上
OracleConnection conn = new OracleConnection(ConnectionString);
string str = "select * from usertable where name='"+ TextBox1.Text.Trim() +"' and pwd='"+ TextBox2.Text.Trim() +"'";
OracleDataAdapter da = new OracleDataAdapter(str,conn);
DataSet ds = new DataSet();
da.Fill(ds);
全都是这样写的,这是不是就叫做“拼凑SQL”,很容易造成注入性攻击?别人说写成存储过程可以杜绝大部分的注入性攻击。如果一定要用这种“拼凑SQL”的方式应该怎样做防止注入性攻击在51aspx这个网站上下了很多商城类的源码,不是运行不了的,就是看不懂的
求高人指点啊
解决方案 »
- .net读取匹配 xml配置文件数据
- 求UML实例
- 求图片识别程序
- 关于文件输出的问题
- 在HTML中我如何将datagrid的绑定值,作为参数传给变量
- 我要用asp.net做一个登陆页面,使用usename和password登陆成功后,将会进入资料填写页面,但是要设置一个管理员个人资料在被管理员确认后则use没有修改权限。(麻烦您能告诉我详细代码)
- 大家开发asp.net都用什么环境和工具呢?
- 请教高手两个简单的问题:
- 适配器SqlAdapter添充数据集dataset时,老是说连接字符串连接数据库超时,可能是什么原因?
- 新人求助,页面传值的问题
- sqlserver 查询的结果集合并问题
- Entity framework 删除的问题
TextBox1.Text.Trim().Replace("'","''");
lz为什么不用cookies来做购物车呢。
string str = "select * from usertable where name=@username and pwd=@userpwd";
cmd.Parameters.Add(new SqlParameter("username", SqlDbType.VarChar, 16));
cmd.Parameters["username"].Value = tetUserName.Text;
cmd.Parameters.Add(new SqlParameter("userpwd", SqlDbType.VarChar, 16));
cmd.Parameters["userpwd"].Value = txtUserPwd.Text;
倒是从地址栏进行注入需要多注意下,写个过滤的项目,把地址栏里的get参数全部过滤一下(去掉特殊字符),就可以了。