ASP.NET MVC4入门教程(九):查询详细信息和删除记录
2016-04-11 00:00
871 查看
在本教程中,您将查看自动生成的Details和Delete方法。
查询详细信息和删除记录打开Movie控制器并查看Details方法。
Code First 使得您可以轻松的使用Find方法来搜索数据。一个重要的安全功能内置到了方法中。方法首先验证Find方法已经找到了一部电影,然后再执行其它代码。例如,黑客可以通过更改http://localhost:xxxx/Movies/Details/1到http://localhost:xxxx/Movies/Details/12345 (或某些其它值,不代表实际影片的值)从而使得链接URL 出现错误。如果您没有检测是否找到了Movie, null Movie会导致出现数据错误。
查看Delete和DeleteConfirmed方法。
请注意,Delete的HTTP Get 方法不会删除指定的电影,它返回删除电影的视图,您可以在此视图中提交 (HttpPost) 删除电影。如果使用GET 请求执行删除操作(或者执行编辑操作,创建操作或者更改数据的任何其它操作) 开辟了一个安全漏洞。对此的详细信息,请参阅斯蒂芬 ・ 瓦尔特的博客ASP.NET MVC Tip #46 ― Don't use Delete Links because they create Security Holes.
将删除数据的HttpPost方法命名为唯一签名或名称的 DeleteConfirmed 方法。这两个方法的签名如下所示:
公共语言运行时 (CLR)重载方法时,需要方法具有独特唯一的签名 (方法名称相同但不同的参数列表)。但是,在这里您需要两种删除方法 ― ― 一个 GET方法和一个POST方法它们都具有相同的签名。(他们都需要接受一个整数作为参数)。
要解决这一点,可以有几种办法。一是使用不同的方法名称。这是框架代码在前面的示例中所使用的方法。然而,这就带来了一个小问题: ASP.NET 将部分的 URL按名称映射到操作方法,如果您重命名了方法,通常Routing将无法找到该方法。解决方法是您在示例中看到的,将ActionName("Delete")属性添加到DeleteConfirmed 方法。这会有效的执行Routing系统的Url映射,这样一个包含/Delete/的 POST 请求的URL 将找到DeleteConfirmed 方法。
另一个常见的方法,来避免具有相同名称和签名的方法,是人为地改变POST 方法,包括未使用参数的签名。例如,有些开发人员添加参数类型 FormCollection,FormCollection是会传递给 POST 方法的,然后根本不使用此参数:
您现在有一个完整的 ASP.NET MVC 应用程序并在本地的 DB 数据库中存储数据。您可以创建、 读取、 更新、 删除和搜索电影。
如果您想要部署应用程序,最好先在您本地的IIS 7 服务器上测试一下您的应用程序。您可以使用此 Web Platform Installer 链接启用IIS服务器的 ASP.NET 应用程序的设置。请参阅下面的部署链接:
・ Test your ASP.NET MVC or WebForms Application on IIS 7 in 30 seconds
・ ASP.NET Deployment Content Map
・ Enabling IIS 7.x
・ Web Application Projects Deployment
现在鼓励您开始学习中级内容 Creating an Entity Framework Data Model for an ASP.NET MVC Application 和 MVC Music Store 教程, 浏览 ASP.NET articles on MSDN,的文章,再看看很多的视频和资源:http://asp.net/mvc来了解更多关于 ASP.NET MVC 的信息 ! ASP.NET MVC forums 论坛是一个好地方,可以用来问您想要知道的问题。
使用asp.net MVC4中的Bundle遇到的问题及解决办法分享
ASP.NET MVC4之js css文件合并功能(3)
ASP.NET MVC4 HtmlHelper扩展类,实现分页功能
ASP.NET MVC4入门教程(一):入门介绍
ASP.NET MVC4入门教程(二):添加一个控制器
ASP.NET MVC4入门教程(三):添加一个视图
ASP.NET MVC4入门教程(四):添加一个模型
ASP.NET MVC4入门教程(五):从控制器访问数据模型
ASP.NET MVC4入门教程(六):验证编辑方法和编辑视图
ASP.NET MVC4入门教程(七):给电影表和模型添加新字段
ASP.NET MVC4入门教程(八):给数据模型添加校验器
查询详细信息和删除记录打开Movie控制器并查看Details方法。
public ActionResult Details(int id = 0) { Movie movie = db.Movies.Find(id); if (movie == null) { return HttpNotFound(); } return View(movie); }
Code First 使得您可以轻松的使用Find方法来搜索数据。一个重要的安全功能内置到了方法中。方法首先验证Find方法已经找到了一部电影,然后再执行其它代码。例如,黑客可以通过更改http://localhost:xxxx/Movies/Details/1到http://localhost:xxxx/Movies/Details/12345 (或某些其它值,不代表实际影片的值)从而使得链接URL 出现错误。如果您没有检测是否找到了Movie, null Movie会导致出现数据错误。
查看Delete和DeleteConfirmed方法。
// GET: /Movies/Delete/5 public ActionResult Delete(int id = 0) { Movie movie = db.Movies.Find(id); if (movie == null) { return HttpNotFound(); } return View(movie); } // // POST: /Movies/Delete/5 [HttpPost, ActionName("Delete")] public ActionResult DeleteConfirmed(int id = 0) { Movie movie = db.Movies.Find(id); if (movie == null) { return HttpNotFound(); } db.Movies.Remove(movie); db.SaveChanges(); return RedirectToAction("Index"); }
请注意,Delete的HTTP Get 方法不会删除指定的电影,它返回删除电影的视图,您可以在此视图中提交 (HttpPost) 删除电影。如果使用GET 请求执行删除操作(或者执行编辑操作,创建操作或者更改数据的任何其它操作) 开辟了一个安全漏洞。对此的详细信息,请参阅斯蒂芬 ・ 瓦尔特的博客ASP.NET MVC Tip #46 ― Don't use Delete Links because they create Security Holes.
将删除数据的HttpPost方法命名为唯一签名或名称的 DeleteConfirmed 方法。这两个方法的签名如下所示:
// GET: /Movies/Delete/5 public ActionResult Delete(int id = 0) // // POST: /Movies/Delete/5 [HttpPost, ActionName("Delete")] public ActionResult DeleteConfirmed(int id = 0)
公共语言运行时 (CLR)重载方法时,需要方法具有独特唯一的签名 (方法名称相同但不同的参数列表)。但是,在这里您需要两种删除方法 ― ― 一个 GET方法和一个POST方法它们都具有相同的签名。(他们都需要接受一个整数作为参数)。
要解决这一点,可以有几种办法。一是使用不同的方法名称。这是框架代码在前面的示例中所使用的方法。然而,这就带来了一个小问题: ASP.NET 将部分的 URL按名称映射到操作方法,如果您重命名了方法,通常Routing将无法找到该方法。解决方法是您在示例中看到的,将ActionName("Delete")属性添加到DeleteConfirmed 方法。这会有效的执行Routing系统的Url映射,这样一个包含/Delete/的 POST 请求的URL 将找到DeleteConfirmed 方法。
另一个常见的方法,来避免具有相同名称和签名的方法,是人为地改变POST 方法,包括未使用参数的签名。例如,有些开发人员添加参数类型 FormCollection,FormCollection是会传递给 POST 方法的,然后根本不使用此参数:
public ActionResult Delete(FormCollection fcNotUsed, int id = 0) { Movie movie = db.Movies.Find(id); if (movie == null) { return HttpNotFound(); } db.Movies.Remove(movie); db.SaveChanges(); return RedirectToAction("Index"); }
您现在有一个完整的 ASP.NET MVC 应用程序并在本地的 DB 数据库中存储数据。您可以创建、 读取、 更新、 删除和搜索电影。
如果您想要部署应用程序,最好先在您本地的IIS 7 服务器上测试一下您的应用程序。您可以使用此 Web Platform Installer 链接启用IIS服务器的 ASP.NET 应用程序的设置。请参阅下面的部署链接:
・ Test your ASP.NET MVC or WebForms Application on IIS 7 in 30 seconds
・ ASP.NET Deployment Content Map
・ Enabling IIS 7.x
・ Web Application Projects Deployment
现在鼓励您开始学习中级内容 Creating an Entity Framework Data Model for an ASP.NET MVC Application 和 MVC Music Store 教程, 浏览 ASP.NET articles on MSDN,的文章,再看看很多的视频和资源:http://asp.net/mvc来了解更多关于 ASP.NET MVC 的信息 ! ASP.NET MVC forums 论坛是一个好地方,可以用来问您想要知道的问题。
您可能感兴趣的文章:
基于Asp.Net MVC4 Bundle捆绑压缩技术的介绍使用asp.net MVC4中的Bundle遇到的问题及解决办法分享
ASP.NET MVC4之js css文件合并功能(3)
ASP.NET MVC4 HtmlHelper扩展类,实现分页功能
ASP.NET MVC4入门教程(一):入门介绍
ASP.NET MVC4入门教程(二):添加一个控制器
ASP.NET MVC4入门教程(三):添加一个视图
ASP.NET MVC4入门教程(四):添加一个模型
ASP.NET MVC4入门教程(五):从控制器访问数据模型
ASP.NET MVC4入门教程(六):验证编辑方法和编辑视图
ASP.NET MVC4入门教程(七):给电影表和模型添加新字段
ASP.NET MVC4入门教程(八):给数据模型添加校验器
相关文章推荐
- 分享微信开发Html5轻游戏中的几个坑
- 星外ASP.Net的安全设置相关说明
- C#、ASP.NET通用扩展工具类之TypeParse
- 实现ASP.NET无刷新下载并提示下载完成的开发思路
- C#、ASP.NET通用扩展工具类之LogicSugar
- C#、ASP.NET通用工具类IsWhat?(可以判断数字、身份证、数据类型等等)
- 程序中常用的种代码
- ASP.NET、ASP、PHP、JSP之间有什么区别?
- ASP.NET页面间的传值的几种方法
- 入侵ASP.net网站的经验附利用代码
- 盘点PHP和ASP.NET的10大对比!
- ASP.NET MVC4入门教程(四):添加一个模型
- ASP.NET MVC4入门教程(五):从控制器访问数据模型
- asp.net OleDbCommand 的用法
- ASP.NET MVC4入门教程(二):添加一个控制器
- jquery调用asp.net 页面后台的实现代码
- asp.net中XML如何做增删改查操作
- ASP.net 资源请求漏洞利用工具PadBuster
- C#实现文件的压缩与解压
- .NET中常见的 IL 指令集