webservice 的安全性与实用性问题(高分)
安全性:做好了一个webservice(service.asmx),里面有一个方法 sub execsql(sqlstr as string),可以无返回执行sql语句,如果网上有人知道了我的webservice(service.asmx)的名字,则在浏览器上输入:
www.xxxx.com/service.asmx,便可以直接调用方法execsql(),如果他输入的语句是“delete from mytable”,那不是全部把我的数据删完了??这样的安全性怎么保证??
注:www.xxxx.com是我的域名,我的service.asmx放在网站根目录下面。
实用性:做程序都是在本地机调试的,引入web引用的时候都是引用localhost的web引用,可是程序做完了放在其他客户端运行(winform)就找不到localhost的web引用了,不可能每个客户端都将web引用指向服务器地址吧(这样调试麻烦,况且引用还可能修改)?如果我的服务器地址随时变换怎么办?有没有可能在用户登陆的时候就让用户指定一个web服务地址呢?在remoting的winform 是可以这样的,可是我不知道remoting如何实现在远程连接(数据库)。大侠能否给个例子???