首页 新闻 搜索 专区 学院

用javascript生成sql语句,传给后台执行有什么不好??

0
[已解决问题] 解决于 2015-03-20 17:36

最近在做项目,突然有一个想法,我想把本应该是在服务器中生成sql语句的步奏放到客户端进行具体做法是这样的。

1.用户请求index.aspx页面时,后台知道此页面需要对哪些表进行操作,并且将这些表实体,转化成json格式后传到前台。

2.当用户执行某项操作需要修改数据库数据时,前端根据生成sql语句的公共js和后台所传给前台的实体对象,生成相应sql语句,传给后台执行(注:执行sql语句方式为参数化查询)。

 

这种做法在项目中很少看到,至少鄙人是没看到过,在我看来这种方法减少了服务器的压力,同时提高了系统的性能。但为何没人在用,我感觉有点奇怪,难道是因为安全性的原因么?在我看来用这种方式安全性是可以改善的,不知道各位大神对我这个想法有何意见或建议??

Metto的主页 Metto | 菜鸟二级 | 园豆:202
提问于:2015-03-20 17:18
< >
分享
最佳答案
0

大家怕的是sql注入,你这个都不用注入了,直接暴露数据库啊!这要是被有心人发现了,好一点的是数据被窃取,坏一点的直接删掉,或者给你直接打上广告,也就是说想怎么做就怎么做,你觉得呢?

奖励园豆:5
刘宏玺 | 专家六级 |园豆:14006 | 2015-03-20 17:23

sql注入我有考虑过,我觉得这是应该可以避免,你说说看注入

Metto | 园豆:202 (菜鸟二级) | 2015-03-20 17:34

@i++ˇ: 连sql写在后台生成都能够被注入,你这个都暴露在前台了,你要怎么避免??

刘宏玺 | 园豆:14006 (专家六级) | 2015-03-20 17:35
其他回答(1)
0

怕不怕数据库被干掉?不怕就这么干!

幻天芒 | 园豆:36652 (高人七级) | 2015-03-20 17:26
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册