.NET开发

本类阅读TOP10

·NHibernate快速指南(翻译)
·vs.net 2005中文版下载地址收藏
·【小技巧】一个判断session是否过期的小技巧
·VB/ASP 调用 SQL Server 的存储过程
·?dos下编译.net程序找不到csc.exe文件
·通过Web Services上传和下载文件
·学习笔记(补)《.NET框架程序设计(修订版)》--目录
·VB.NET实现DirectDraw9 (2) 动画
·VB.NET实现DirectDraw9 (1) 托管的DDraw
·建站框架规范书之——文件命名

分类导航
VC语言Delphi
VB语言ASP
PerlJava
Script数据库
其他语言游戏开发
文件格式网站制作
软件工程.NET开发
实战 .Net 数据访问层 - 19

作者:未知 来源:月光软件站 加入时间:2005-2-28 月光软件站

 

6.       ASPECT

AOPAspect Oriented Programming)可能是最近几年被挖掘出

来的最具震撼力的技术之一,作者并不打算在此花什么篇幅介绍它(网上资料已多如牛毛),只是希望借用其ASPECT概念来说明几个设计Data Access Layer时必须考虑的问题(也是在进行系统架构设计前不得不考虑的几个重要因素!):

(1)   Security

把它排在ASPECT首位相信大家没什么疑义吧!

 

虽然,Business Logic已为我们搞定了太多的Security Issues,但那个长久挥之不去的“ConnectionString阴影”还是会成为不少开发人员心中永远的“不爽”!

 

有位同事告诉我,微软曾有一个号称8万人难以攻破的ASP.NET应用程序,它的ConnectionString居然就是存在了Registry中(别忘了禁用Remote Registry服务)!这样的双重保护(另一重是对ConnectionString进行加密处理)是多么简单却实用啊!

在很多时候,As Simple As Possible才是我们应该真正追求的目标。

 

另一个需要注意的问题就是如何应对SQL InjectionSQL注入)攻击!

一个经典的例子如下所示:

string strSql = "select * from user where" +

" username = '" + strUserName +

"' and password = '" + strPassword;

 

在这里,采用Dynamic SQL本身并无调用上的逻辑问题,但却给了Cracker以可乘之机:如果系统没有针对strPassword做过任何数据校验,当用户试着输入“abc”作为username,“123’ or 1 = 1”作为password时,那就不得不遗憾的告诉您:该系统已被成功攻破,请迅速发布新的补丁程序!

虽然这个例子很简单,但已提醒我们:小小的SQL语句也会成为系统漏洞的“重要来源”!

 

在这种情况下,避免产生危机的方法也很简单:使用Stored Procedure或者Parameter Collection(你不会告诉我准备把这个责任推给毫无SQL经验的Business Logic人员吧J)。如果系统架构时没有准备采用Stored Procedure或者开发人员很不习惯使用Parameter Collection(坦率地讲,我也不喜欢这个东东),那也有个稍微麻烦点的Solution(当然不推荐采用):

                                                                                 i.              仅使用username拼装Dynamic SQL

                                                                               ii.              判断返回纪录数是否为1(假定usernameunique column);

                                                                              iii.              如果记录数为1,取出password数据;

                                                                             iv.              判断用户输入之password是否与查询返回之password匹配。

 

限于篇幅,这里只讨论了两个比较常见的问题,当然是远远不能覆盖Security的全部精髓,只是为了表明一个观点:Security实在是非常非常重要,切勿等闲视之!

 

(2)    Transaction

这是个避无可避的东东,要发现它的问题有一定难度,且不易于测试!作者不准备就此展开,大家只有通过实战积累经验了。

另外,到底是用System.EnterpriseServices还是Connection.BeginTransaction + try-catch,依然会使很多.NET开发人员产生困惑,作为系统架构设计的一部分,这也是个必须充分考虑的问题!

 

(3)    Logging

日志不是个要不要的问题,而是怎么做的问题。

Log4Net已经很不错了,不会还想亲自动手做一个吧!

 

(4)    Exception

这是个“无底洞”,看你怎么设计了。

就作者经历的项目,主要采用这么两种方式:

                                                                                 i.              one throwone catchno re-throw

这个最简单了,不需要太复杂的Exception Inheritance Hierarchy,处理起来也比较轻松;

                                                                               ii.              one throwmulti-catchmulti-re-throw

复杂应用可能采用这种模式更多些,需要一大堆的Exception Classes和令人望眼欲穿的try-catch,但可能在扩展性和容错处理方面会表现得更为出色(可苦了咱们开发人员L)!

 

暂时就想到这些,如有什么遗漏,欢迎大家补充。

 

下一段:http://www.csdn.net/develop/Read_Article.asp?id=27564




相关文章

相关软件