ist es eine Möglichkeit, eine Abfrage-Zeichenfolge aus zeigt auf der Suche und Filter mit asp.net MVC

Question

ich eine grundlegende Sortierung implementieren zu verstecken - Filtration mit

den Index-Code in Controller Sortierung

public ViewResult Index(string sortOrder, string currentFilter, string searchString, int? page) 
     { 
      ViewBag.CurrentSort = sortOrder; 
      ViewBag.NameSortParm = String.IsNullOrEmpty(sortOrder) ? "name_desc" : ""; 
      ViewBag.DateSortParm = sortOrder == "Date" ? "date_desc" : "Date"; 

      if (searchString != null) 
      { 
       page = 1; 
      } 
      else 
      { 
       searchString = currentFilter; 
      } 

      ViewBag.CurrentFilter = searchString; 

      var students = from s in db.Students 
          select s; 
      if (!String.IsNullOrEmpty(searchString)) 
      { 
       students = students.Where(s => s.LastName.Contains(searchString) 
             || s.FirstMidName.Contains(searchString)); 
      } 
      switch (sortOrder) 
      { 
       case "name_desc": 
        students = students.OrderByDescending(s => s.LastName); 
        break; 
       case "Date": 
        students = students.OrderBy(s => s.EnrollmentDate); 
        break; 
       case "date_desc": 
        students = students.OrderByDescending(s => s.EnrollmentDate); 
        break; 
       default: // Name ascending 
        students = students.OrderBy(s => s.LastName); 
        break; 
      } 

      int pageSize = 3; 
      int pageNumber = (page ?? 1); 
      return View(students.ToPagedList(pageNumber, pageSize)); 
     } 

der Code

gut funktioniert

, was ich fragen, ist es eine Möglichkeit, das gleiche zu implementieren Code, ohne den Abfrageparameter dem Endbenutzer wie in Bildern gezeigt anzuzeigen.

ist es verfügbar, um diesen Parameter mit etwas wie Ansicht Modell - Formularsammlung oder routenbasiert zu verstecken - und gibt es Probleme im Zusammenhang mit Sicherheit mit dieser Art der Arbeit mit Abfragezeichenfolge oder nicht - Beachten Sie, dass dieses Beispiel ein ist nur eine Demo zu was ich tun möchte mit Contoso Universität (Microsoft Demo) und sicher in diesem Kontext muss ich nicht eine Abfrage Zeichenfolge verstecken, aber in einem anderen Kontext (mit ado.net gespeicherten Prozedur) kann einige Datenbankarchitektur zeigen -

Answer 1

1. Nicht jede Abfragezeichenfolge verursacht Sicherheitsverletzungen. Sie müssen festlegen, welche sensiblen Daten in der Abfragezeichenfolge nicht angezeigt werden sollen.
2. Wenn Sie ausblenden möchten, müssen Sie "POST" anstelle von "GET" verwenden. Mit Paket-Sniffing-Tools wie Fiddler oder den Debugging-Tools von Browsern sind die Abfrageparameter jedoch weiterhin erkennbar.
3. Vorsicht vor SQL-Injection, wenn Sie einfach eine SQL-Anweisung im Code erstellen. Zum Beispiel könnte jemand übergeben "; Drop Tabelle xx;" als Abfragezeichenfolge.
4. Query-String kann verschlüsselt werden - https://www.aspsnippets.com/Articles/Encrypt-and-Decrypt-QueryString-Parameter-Values-in-ASPNet-using-C-and-VBNet.aspx