0
我有一个用于将数据插入数据库的类,并且传递给此类方法的信息必须经过转义和验证。验证和转义数据的最佳做法是什么?是否应该在方法的实现中完成,还是应该在使用该类的脚本文件中完成,以便在移动到类之前信息有效且安全?过去,我一直都在做这件事,并一直在想,大多数人是这么做的。 (我在PHP中编码,如果它很重要,但它似乎更像是一个一般的编程习惯问题给我。)面向对象内部或外部方法的安全/验证?
谢谢!
A
回答
0
这一定程度上取决于你有关于你的数据处理架构的类型,但...
在一般情况下,该数据插入到数据库类(姑且称之为持久化类)应执行SQL逃逸。如果这些值必须是特定类型的(例如VARCHAR,INT),那么它也可以验证这些值,或者将它留给数据库来为错误的数据类型抛出错误。
对于更具体的验证,将它包含在您的域模型或处理即时输入的其他代码(例如GET和POST)中可能是一个好主意。
如果您使用域模型对象,它们应该包含一个可以用来确保它们有效的方法,或者它们不应接受根据模型的要求无效的数据。然后,持久化类可以简单地处理域对象,或通过域对象的存储库。
在一个更简单的情况下,只有一个脚本的层数较少,数据的验证应该在脚本将数据交给持久化类之前完成。 (在PoEAA中,如果你好奇的话,这可能是最接近交易脚本模式的)
0
我认为在将数据传递给持久化方法之前,应对数据进行验证。
使用预处理语句,转义应该是持久性方法实现的一部分。
身份验证和授权的安全问题是交叉担忧。如果您的语言支持它们,这些属于方面。
相关问题
- 1. 对象内部或外部的域实体验证代码?
- 2. MongoDB的架构验证外部对象可选的,但内部对象需要
- 3. 验证对外部API
- 4. Javascript外部对象全球?
- 5. Solr云安全无法用于内部身份验证
- 6. 春季安全验证对象的方法
- 7. 内部验证()似乎遵守外部验证()规则
- 8. 通过外部形式证明安全
- 9. Drupal外部验证
- 10. PhpBB3外部验证
- 11. 区分Javadoc的内部/外部方法
- 12. 这个内部对象方法的值?
- 13. Rest API安全性无需外部请求验证
- 14. Java:在构造函数内部或外部初始化对象?
- 15. 面向对象的PHP安全项目
- 16. 验证SharePoint 2010外部列表/外部内容类型
- 17. 不可能让内部对象的方法私立外
- 18. SQL JOIN内部或外部
- 19. 内部vs外部API方法
- 20. 使用外部API对象的java中的线程安全
- 21. 从对象内部调用javascript方法
- 22. C#内部静态外部与InternalCall属性 - 内部或外部?
- 23. 从内部类对象中获取外部类对象
- 24. Javascript参考外部对象来自内部对象
- 25. 从内部类对象中获取外部类对象
- 26. 保护内部和外部用户的SharePoint安全
- 27. 无法使用外部类对象访问内部类成员
- 28. 何处进行外部验证验证?
- 29. 面向对象的方法是什么? (或你的方法?)
- 30. Ajax内部的wordpress安全
所以基本上任何类型的安全数据库所需的转义应该在方法的实现中完成,但是应该完成任何其他验证在传递给方法之前。这基本上是我通常做的。 – Key 2011-04-24 00:39:10
你在正确的轨道上:) – 2011-04-24 00:40:41