用javascript生成sql语句,传给后台执行有什么不好??
0
[已解决问题]
解决于 2015-03-20 17:36
最近在做项目,突然有一个想法,我想把本应该是在服务器中生成sql语句的步奏放到客户端进行具体做法是这样的。
1.用户请求index.aspx页面时,后台知道此页面需要对哪些表进行操作,并且将这些表实体,转化成json格式后传到前台。
2.当用户执行某项操作需要修改数据库数据时,前端根据生成sql语句的公共js和后台所传给前台的实体对象,生成相应sql语句,传给后台执行(注:执行sql语句方式为参数化查询)。
这种做法在项目中很少看到,至少鄙人是没看到过,在我看来这种方法减少了服务器的压力,同时提高了系统的性能。但为何没人在用,我感觉有点奇怪,难道是因为安全性的原因么?在我看来用这种方式安全性是可以改善的,不知道各位大神对我这个想法有何意见或建议??
最佳答案
0
大家怕的是sql注入,你这个都不用注入了,直接暴露数据库啊!这要是被有心人发现了,好一点的是数据被窃取,坏一点的直接删掉,或者给你直接打上广告,也就是说想怎么做就怎么做,你觉得呢?
奖励园豆:5
sql注入我有考虑过,我觉得这是应该可以避免,你说说看注入
@i++ˇ: 连sql写在后台生成都能够被注入,你这个都暴露在前台了,你要怎么避免??
其他回答(1)
0
怕不怕数据库被干掉?不怕就这么干!
