将字符串查询传递给 wcf 并从 db 检索数据

Question

我正在做 silver-light 应用程序，这对我来说真的很新。

是否可以通过将查询作为字符串传递给 wcf 来检索数据并从数据库中检索数据。

查询（不是 linq）可以是任何东西..比如 select x,y,z from A where a=.. 或选择 Distinct name from x...

基本上是一个应该进行字符串查询并检索它的函数。

Answer 1

这是可能的，但不要这样做。

这是一个很大的安全风险：任何运行 Silverlight 应用程序的人都可以嗅探从应用程序到 WCF 服务的流量，并发现其中一个参数实际上是 SQL 查询。

此外，请求可能会被篡改，这可能会让用户有权在您的数据库上运行任意查询。

Answer 2

是的，这是可能的。创建一个接受作为查询的字符串的WCF方法。对于返回类型，您可能需要做更多的工作才能使其易于管理。您可能需要某种类型的 DTO 对象集合，这需要非常灵活的 DTO 对象设计或对允许的查询结果集进行限制。

我可以序列化数据表或数据集以通过 C# 中的 Web 服务传输吗？ SO 问题。

正如 @w0lf 指出的，您必须考虑可能存在严重的安全风险。您要做的就是授予任何有权访问您的 WCF 服务的人在您的 SQL 服务器上运行任意查询的权限。如果您使用精心设计的权限在 SQL Server 上的特定帐户下运行这些查询，则可以安全地完成此操作。请参阅例如 http://data.stackexchange.com ，它允许运行 SQL 查询 - 使用只读用户。

一般来说，我认为以字符串形式提供查询是一个坏主意，但如果你真的需要它，它确实是可能的。