- 用路径语句控制文件访问
- Net.Data 评估路径配置语句的设置来确定 Net.Data 宏所使用的文件和
可执行程序的位置。这些路径语句标识了一个或多个 Net.Data 在试图找到宏、可执行文件、包含文件或
其他平面文件时搜索的目录。
通过在
这些路径语句中有选择地包括目录,您可以显式地控制用户可以从浏览器访问的文件。参见配置 Net.Data以获取有关路径语句的附加细节。
您还应使用权限检查(如使用权限中所述)并验证
INCLUDE 语句中的文件名是否不能更改(如宏开发技术中所述)。
- 对生产系统禁用 SHOWSQL
- SHOWSQL 变量允许用户指定让 Net.Data 在 Web 浏览器上显示在 Net.Data 函数内部指定
的 SQL 语句。此变量主要用于在应用程序内部开发和测试 SQL,一般不用于生产系统。
您可以使用
以下的某种方法在生产环境中禁用 SQL 语句的显示:
- 使用 Net.Data 版本 2.0.7 或更高版本时,
在 Net.Data 初始化文件中使用 DTW_SHOWSQL 配置变量来覆盖在 Net.Data 宏中设置 SHOWSQL 而
产生的效果。参见DTW_SHOWSQL:启用或禁用 SHOWSQL 配置变量中的语法和附加信息。
- Net.Data 版本 2.0.5 或更早版本的用户可以使用 DTW_ASSIGN() 函数,如宏开发技术中所述。
参见 Net.Data 参考的变量一章中有关 SHOWSQL 的内容,以获取
SHOWSQL Net.Data 变量的语法和示例。
- 考虑对于生产环境启用直接请求是否合适
- 调用 Net.Data 的直接请求方式允许用户指定 SQL 语句的执行,或直接从 URL 指定 Perl、
REXX 或 C 程序。宏请求方式只允许用户执行那些 SQL 语句和已经定义或在宏中调用的函数。
您应当仔细
考虑是否要允许直接请求的使用,因为它可能给您的用户以执行多种函数的能力。在启用这种调用方式的时侯,
请确保处理 Net.Data 请求的用户 ID 具有适当的权限级别。
可以使用 DTW_DIRECT_REQUEST 配置变量来禁用直接请求。参见DTW_DIRECT_REQUEST:启用直接请求变量中的语法和附加信息。