Параметры ХП / ADO.NET, LINQ, Entity Framework, NHibernate, DAL, ORM

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / ADO.NET, LINQ, Entity Framework, NHibernate, DAL, ORM [игнор отключен] [закрыт для гостей] / Параметры ХП

15 сообщений из 40, страница 2 из 2

все

Параметры ХП

#35879252

Kommunar

Гость

aleks-samKommunarPC_2,

Ето надо будет в каждую процу дописывать проверку, немного не удобно.

Вопрос остается открытым.
Вам в нужном направлении указали. В каждой ХП.

В каждой ХП, а если учесть человеческий фактор, просто забыли программисты прописать, проца будет запускаться как угодно?

...

Рейтинг:

0 / 0

19.03.2009, 14:08

| Ответить | Цитировать | Написать

Параметры ХП

#35879357

PC_2

Участник

Откуда: www.rstudio.at.ua Фишка: Дебагеры 3-его тысячилетия

Сообщения: 272

Рейтинг: 0 / 0

У тебя есть семантическая связка Операция/Проверка прав.

Тоесть проверка прав завязана на операции ( Например Чтение, Редактирование ).

Проверка прав не может быть завязана на типах переданных параметров в зоопарк процедур.

...

Рейтинг:

0 / 0

19.03.2009, 14:38

| Ответить | Цитировать | Написать

Параметры ХП

#35879377

Участник

Откуда: Колыбель космонавтики

Сообщения: 1 888

Рейтинг: 0 / 0

Почему нельзя сделать все по-человечески: разграничением прав доступа на запуск хп на стороне сервера, через роли?

...

Рейтинг:

0 / 0

19.03.2009, 14:44

| Ответить | Цитировать | Написать

Параметры ХП

#35879413

winsky!

Участник

Откуда: Київ

Сообщения: 5 363

Рейтинг: 0 / 0

zzПочему нельзя сделать все по-человечески: разграничением прав доступа на запуск хп на стороне сервера, через роли?
+100

...

Рейтинг:

0 / 0

19.03.2009, 14:54

| Ответить | Цитировать | Написать

Параметры ХП

#35879422

Kommunar

Гость

zz,

да можно никто не спорит.

Тут идея в другом:

- есть группы пользователей, у групп свои ограничения на запуск той или иной процы, ограничения хранятся в базе.

проца может запуститься от конкретной группы и но с разными значениями пармаетра, т.е.

если в проце есть параметр @IdPaymant, то одна группа может запустить процу со значениями параметра 1,2,3 и ни с какими другими, то другая например только с 4.

Надеюсь понятно объяснил.

Поетому и ищу пути распарсить строку вызова ХП по значениям параметр - значение, чтоб потом проверить правильно ли пользователь запускает ее.

...

Рейтинг:

0 / 0

19.03.2009, 14:56

| Ответить | Цитировать | Написать

Параметры ХП

#35879440

PC_2

Участник

Откуда: www.rstudio.at.ua Фишка: Дебагеры 3-его тысячилетия

Сообщения: 272

Рейтинг: 0 / 0

Ты скажи кто у тебя эту строку формирует ?

Код: plaintext

"[EditGroup] 1,'qwer','qwer'"

...

Рейтинг:

0 / 0

19.03.2009, 15:01

| Ответить | Цитировать | Написать

Параметры ХП

#35879463

winsky!

Участник

Откуда: Київ

Сообщения: 5 363

Рейтинг: 0 / 0

авторограничения хранятся в базе
так вот и непонятно зачем их хранить в базе, если можно средствами sql server-а разделить доступ.
зачем велосипед строить?

...

Рейтинг:

0 / 0

19.03.2009, 15:07

| Ответить | Цитировать | Написать

Параметры ХП

#35879467

Kommunar

Гость

PC_2,

Ну шаблоя пишу, а парметры подставляются при вооде пользователдем данных с формы.

Код: plaintext

"[EditGroup] TextBox1.Text,TextBox2.Text,TextBox2.Text"

Типа этого.

...

Рейтинг:

0 / 0

19.03.2009, 15:08

| Ответить | Цитировать | Написать

Параметры ХП

#35879478

Kommunar

Гость

winsky!авторограничения хранятся в базе
так вот и непонятно зачем их хранить в базе, если можно средствами sql server-а разделить доступ.
зачем велосипед строить?

Можно пример или где посмотреть почитать, я что то такого не встречал.

...

Рейтинг:

0 / 0

19.03.2009, 15:12

| Ответить | Цитировать | Написать

Параметры ХП

#35879490

PC_2

Участник

Откуда: www.rstudio.at.ua Фишка: Дебагеры 3-его тысячилетия

Сообщения: 272

Рейтинг: 0 / 0

KommunarPC_2,

Ну шаблоя пишу, а парметры подставляются при вооде пользователдем данных с формы.

Код: plaintext

"[EditGroup] TextBox1.Text,TextBox2.Text,TextBox2.Text"

Типа этого.

Это большая дыра по секьюрити.
Вот так формируй свои параметры.
Тогда параметры будут лежать там где нужно и их не нужно будет парсить.

Код: plaintext

1.
2.
3.
4.
5.

SqlCommand command = new SqlCommand("AddCardTransaction", m_connection);
            command.CommandType = CommandType.StoredProcedure;
            command.Parameters.AddWithValue("@TypeName", TypeName);
            command.Parameters.AddWithValue("@TransactionID", TransactionID);
            command.ExecuteNonQuery();

...

Рейтинг:

0 / 0

19.03.2009, 15:15

| Ответить | Цитировать | Написать

Параметры ХП

#35879540

Участник

Откуда: Колыбель космонавтики

Сообщения: 1 888

Рейтинг: 0 / 0

Kommunar, ну тогда тебе надо как-то централизовывать вызов своих процедур. Можно взять какой-нибудь BlToolkit и "перекроить" его под себя, но это чересчур брутально и требует знания IL.
Можно слепить некий полумер, типа такого:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.

        /// <summary>
        /// Универсмальный вызов хранимок.
        /// </summary>
        /// <param name="method">Вызывающий метод</param>
        /// <param name="values">Параметры</param>
        /// <returns></returns>
	    public static SqlCommand GenerateCommand(MethodInfo method, object[] values)
	    {

	        SqlParameter prm;

	        string SPName = method.Name;
	        SqlCommand cmd = new SqlCommand(SPName, ConnectionString)
	                             {CommandType = CommandType.StoredProcedure};

	        ParameterInfo[] prms = method.GetParameters(); //Тут имена параметров

	        for (int i = 0; i < prms.Length; i++)
	        {
	            prm = cmd.Parameters.AddWithValue("@" + prms[i].Name, values[i]);
	            if (prms[i].IsOut) prm.Direction = ParameterDirection.Output;
	        }

	        //Тут вызов некоей универсальной функции проверки. Передаем ей имя ХП,
	        //массив имен параметров, массив значений параметров. Можно при желании слепить структуру.
	        Verify(SPName, prms, values);

	        return cmd;
	    }

Использование:

Код: plaintext

1.
2.
3.
4.

        public static void EditGroup(int IdGroup, int CaptionGroup, int DescribeGroup)
        {
            SqlCommand cmd = Commands.GenerateCommand((MethodInfo)MethodBase.GetCurrentMethod(), new object[] { IdGroup, CaptionGroup, DescribeGroup });
            Commands.Execute(cmd);
        }

Писалось на коленке, так что возомжны артефакты.

...

Рейтинг:

0 / 0

19.03.2009, 15:27

| Ответить | Цитировать | Написать

Параметры ХП

#35879567

Kommunar

Гость

PC_2KommunarPC_2,

Ну шаблоя пишу, а парметры подставляются при вооде пользователдем данных с формы.

Код: plaintext

"[EditGroup] TextBox1.Text,TextBox2.Text,TextBox2.Text"

Код: plaintext

1.
2.
3.
4.
5.

SqlCommand command = new SqlCommand("AddCardTransaction", m_connection);
            command.CommandType = CommandType.StoredProcedure;
            command.Parameters.AddWithValue("@TypeName", TypeName);
            command.Parameters.AddWithValue("@TransactionID", TransactionID);
            command.ExecuteNonQuery();

Почему дыра?

...

Рейтинг:

0 / 0

19.03.2009, 15:37

| Ответить | Цитировать | Написать

Параметры ХП

#35879635

PC_2

Участник

Откуда: www.rstudio.at.ua Фишка: Дебагеры 3-его тысячилетия

Сообщения: 272

Рейтинг: 0 / 0

KommunarPC_2KommunarPC_2,

Ну шаблоя пишу, а парметры подставляются при вооде пользователдем данных с формы.

Код: plaintext

"[EditGroup] TextBox1.Text,TextBox2.Text,TextBox2.Text"

Код: plaintext

1.
2.
3.
4.
5.

SqlCommand command = new SqlCommand("AddCardTransaction", m_connection);
            command.CommandType = CommandType.StoredProcedure;
            command.Parameters.AddWithValue("@TypeName", TypeName);
            command.Parameters.AddWithValue("@TransactionID", TransactionID);
            command.ExecuteNonQuery();

Почему дыра?

Читай про взлом через иньекции.

...

Рейтинг:

0 / 0

19.03.2009, 16:00

| Ответить | Цитировать | Написать

Параметры ХП

#35879674

Диез

Участник

Откуда: Столица Попозже.

Сообщения: 868

Рейтинг: 0 / 0

Kommunar
...

Почему дыра?

...

Рейтинг:

0 / 0

19.03.2009, 16:07

| Ответить | Цитировать | Написать

Параметры ХП

#35879840

winsky!

Участник

Откуда: Київ

Сообщения: 5 363

Рейтинг: 0 / 0

Kommunar
Можно пример или где посмотреть почитать, я что то такого не встречал.
в BOL - security [SQL Server]. там много всего написано.

Модератор: Тема перенесена из форума "C#.NET".

...

Рейтинг:

0 / 0

19.03.2009, 16:52

| Ответить | Цитировать | Написать

15 сообщений из 40, страница 2 из 2

все

Форумы / ADO.NET, LINQ, Entity Framework, NHibernate, DAL, ORM [игнор отключен] [закрыт для гостей] / Параметры ХП

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=17&gotonew=1&tid=1351893]:	0ms
get settings:	7ms
get forum list:	17ms
check forum access:	4ms
check topic access:	4ms
track hit:	101ms
get topic data:	9ms
get first new msg:	6ms
get forum data:	2ms
get page messages:	45ms
get tp. blocked users:	1ms
others:	215ms

total:	411ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы