vb.net のディスカッション ボード/フォーラムとして機能する簡単な Web サイトを作成しています。
ユーザーがフォーラムをクリックすると、フォーラム ID がクエリ文字列変数に入れられ、「トピック」ページが読み取り、そのフォーラム ID を持つすべてのトピックを収集します。同様に、ユーザーがトピックをクリックすると、投稿ページはそのトピック ID を持つすべての投稿を収集します。
いいえ:
F_ID = Request.Querystring("F_Num")
myCommand = New SqlCommand("SELECT * FROM Forum_Topics WHERE Forum_ID = @ID", myConnection)
myCommand.Parameters.AddWithValue("@ID", F_ID)
私の質問は:
id を SQL クエリのパラメーターとして使用していますが、変数内の ID を使用する前または使用した後、またはセキュリティのためにページに渡す前に、変数の ID をどうすればよいですか?
クエリ文字列を使用してページからページにデータを転送するためのベスト プラクティスはありますか?
最後に、これが十分に安全でない場合に使用すべき別の方法はありますか?
この質問の目的のために、ユーザーがログインしている (別の場所で処理されている) 限り、すべてのトピックを表示できます。
ありがとう!