我发现这种技术很有意思缩短一些编码时间。在我看来,不必重新创建与数据库相关的语句以及用于web控件的表单绑定器。但我想知道它是否应该被视为非内联网项目的主要安全风险,因为它向用户显示数据库结构
现在我知道这个问题可能没有一个独特的纯粹客观的答案,但我希望将其标记为主观并使其成为社区wiki,这足以让它保持开放并获得一些 关于它的技术考虑
答案 0 :(得分:2)
确定要从表单数据更改的数据字段的方式肯定会带来安全风险。
假设我有一个User
表,其中包含IsAdmin
字段,以确定谁拥有对该应用程序的完全访问权限。在用户可以编辑自己的信息的表单中,IsAdmin
字段当然不包含在内,但只需在发布页面之前编辑页面(例如使用FireBug),他们就可以轻松添加具有该名称的表单字段什么会自动填充对象中的属性。所有他们需要知道(或猜测)的是命名该领域以及将其放入其中的内容。瞧,我们有另一个管理员!