我用一个detailview显示文章,文章本身有发布选项,如果admin不选择发布,前台就不显示,我是直接用detailview数据源绑定,本来想编程控制,觉得麻烦,在sql语句读取文章的地方加了个approved,语句为select * from article where article = @article and approved= 'true',请问如果直接绑定放在页面里面安全吗?或者我把这条语句放在存储过程里面,还是编程控制?
调试欢乐多
还有就是如果一定要写,也要防止SQL 注入,网上很多代码,手动编程来处理这些问题,
如果用存储过程安全性要高,而且执行速度也快,但是会有一个不好的现象就是一旦你用了这个数据库那就没办法再换数据库了,因为你是用的存储过程,
我们现在做的项目全部用的是linq不管用什么数据库都可以,随时可以更换.
linq to sql只是其中一种,还有linq to objects,linq to xml等。