J'utilise ASP Classic et SQL Server 2000 pour créer des sites Web dynamiques.ASP Classic - Objet Recordset et objet de commande
Je suis un peu confus quant à quand utiliser un objet jeu d'enregistrements et quand utiliser un objet de commande lors de l'interrogation de la base de données.
On m'a dit que si la procédure stockée renvoyait des enregistrements d'une instruction SELCT, je devrais utiliser un jeu d'enregistrements, mais si je suis en train de mettre à jour ou d'insérer, je devrais utiliser un objet de commande procédure stockée.
Lorsque vous utilisez un jeu d'enregistrements je passe souvent des données requises comme ceci:
rs.Source = "spTest " & id
Je valident alway les données que je passe pour vous assurer qu'il est ce que je me attends et de le jeter à son type correct.
Depuis, on m'a dit que la méthode ci-dessus laisse mon code ouvert aux attaques par injection SQL et que je devrais toujours utiliser un objet de commande.
Est-ce correct?
Merci
Merci.Dites que, comme dans l'exemple que j'ai donné, je sais que le paramètre va être numérique et j'ai validé l'entrée pour m'assurer que c'est le cas. Serait-il correct d'utiliser l'objet jeu d'enregistrements comme je l'ai décrit ou devrais-je utiliser l'objet de commande indépendamment? Je demande seulement beaucoup de temps que ce sont seulement les valeurs numériques que je traverse et cela me sauverait beaucoup de temps si je n'avais pas à passer par tous et à les changer tous. Merci – chester600