我正在编写一个简单的网站,它将作为 vb.net 中的讨论板/论坛。
当用户点击论坛时,论坛 id 被放入“主题”页面读取的查询字符串变量中,然后收集具有该论坛 ID 的所有主题。同样,当用户单击某个主题时,帖子页面将收集具有该主题 ID 的所有帖子。
IE:
F_ID = Request.Querystring("F_Num")
myCommand = New SqlCommand("SELECT * FROM Forum_Topics WHERE Forum_ID = @ID", myConnection)
myCommand.Parameters.AddWithValue("@ID", F_ID)
我的问题是:
当我在 SQL 查询中使用 id 作为参数时,为了安全起见,在使用它或将其传递给页面之前或之后,我应该如何处理变量中的 ID?
是否有管理使用查询字符串在页面之间传输数据的最佳实践?
最后,如果这个方法不够安全,我应该使用其他方法吗?
就这个问题而言,只要用户登录(在其他地方处理),他们就可以查看任何和所有主题。
谢谢!