.NET xml документы - наследовавшаяся документация

Question

.NET xml документы - наследовавшаяся документация

Несколько рекомендаций по экранированию специальных символов в операторах SQL.

Не используйте MySQL , это расширение устарело, используйте MySQLi или PDO .

MySQLi

Для ручного экранирования специальных символов в строке вы можете использовать функцию mysqli_real_escape_string .

Пример:

$mysqli = new mysqli( 'host', 'user', 'password', 'database' );
$mysqli->set_charset( 'charset');

$string = $mysqli->real_escape_string( $string );
$mysqli->query( "INSERT INTO table (column) VALUES ('$string')" );

Для автоматического экранирования значений с помощью подготовленных операторов , используйте mysqli_prepare и mysqli_stmt_bind_param , где для соответствующего преобразования должны быть указаны типы для соответствующих переменных связывания:

Пример:

$stmt = $mysqli->prepare( "INSERT INTO table ( column1, column2 ) VALUES (?,?)" );

$stmt->bind_param( "is", $integer, $string );

$stmt->execute();

Независимо от того, используете ли вы подготовленные операторы или mysqli_real_escape_string, вам всегда нужно знать тип входных данных, с которыми вы работаете.

Итак, если вы используете подготовленный оператор, вы должны указать типы переменных для функции mysqli_stmt_bind_param.

И использование mysqli_real_escape_string для, как сказано в названии, означает экранирование специальных символов в строке, поэтому оно не сделает целые числа безопасными. Цель этой функции - предотвратить разрыв строк в операторах SQL и повреждение базы данных, которое она может вызвать. mysqli_real_escape_string - полезная функция при правильном использовании, особенно в сочетании с sprintf.

Пример:

$string = "x' OR name LIKE '%John%";
$integer = '5 OR id != 0';

$query = sprintf( "SELECT id, email, pass, name FROM members WHERE email ='%s' AND id = %d", $mysqli->real_escape_string( $string ), $integer );

echo $query;
// SELECT id, email, pass, name FROM members WHERE email ='x\' OR name LIKE \'%John%' AND id = 5

$integer = '99999999999999999999';
$query = sprintf( "SELECT id, email, pass, name FROM members WHERE email ='%s' AND id = %d", $mysqli->real_escape_string( $string ), $integer );

echo $query;
// SELECT id, email, pass, name FROM members WHERE email ='x\' OR name LIKE \'%John%' AND id = 2147483647

36

.net documentation ndoc

задан Jonathan Leffler 3 May 2015 в 02:39

2 ответа

I have a better answer: FiXml.

Cloning comments with GhostDoc is certainly working approach, but it has significant disadvantages, e.g.:

When the original comment is changed (which frequently happens during development), its clone is not.
You're producing huge amount of duplicates. If you're using any source code analysis tools (e.g. Duplicate Finder in Team City), it will ищите в основном ваши комментарии.

Краткое описание FiXml: это постпроцессор XML-документации, созданный C # \ Visual Basic .Net. Он реализован как задача MSBuild, поэтому интегрировать его в любой проект довольно просто. В нем рассматриваются несколько досадных случаев, связанных с написанием XML-документации на этих языках:

Нет поддержки для наследования документации от базового класса или интерфейса. Т.е. документация для любого переопределенного члена должна быть написана с нуля, хотя обычно желательно унаследовать хотя бы часть его.
Нет поддержки для вставки часто используемых шаблонов документации , таких как «Этот тип одноэлементный. - используйте его свойство , чтобы получить единственный его экземпляр. »или даже« Инициализирует новый экземпляр containing extracted XML comments. But these files are used by many tools, including .NET Reflector and class browser \ IntelliSense in Visual Studio .NET. So if you use just Sandcastle, you won't see inherited documentation there.


Sandcastle's implementation is less powerful. E.g. the is no 
.



See Sandcastle's  description for further details.


                  
                     
                     22

                  
                  
                  
                     ответ дан                      27 November 2019 в 06:14 
                  
                  поделиться


         
               
          Другие вопросы по тегам:          
         .net documentation ndoc       
        Похожие вопросы:

        
          
                          115 
 Какие ваши любимые методы расширения для C #? (Codeplex.com/extensionoverflow) - 23 May 2017 12:18 
                            110 
 [Закрываются] любимые сочетания клавиш Visual Studio - 8 December 2013 19:31 
                            49 
 Что самодокументирует код, и он может заменить хорошо зарегистрированный код? [закрытый] - 23 August 2011 06:30 
                            48 
 Что такое худшая ошибка в C # или .NET? [закрыто] - 13 August 2015 04:30 
                            46 
 [Закрываются] скрытые функции ASP.NET - 23 May 2017 01:54 
                            38 
 Как убедить людей комментировать свой код [закрыто] - 23 May 2017 11:44 
                            38 
 Каково лучшее или самое интересное использование Дополнительных Методов, которые Вы видели? [закрытый] - 4 May 2012 03:22

score 14 · Accepted Answer

Одна альтернатива должна использовать GhostDoc - дополнение для Visual Studio, которая автоматически генерирует комментарии для Вас. Это копирует XML-описание, конечно, которое является частью того, чего Вы стараетесь избегать - но по крайней мере это делает это автоматически для Вас.

, Что происходит, если Вы просто бросаете документы полностью для методов, которые наследованы, или переопределяющей методы интерфейса? Я подозреваю, что это зависит от того, как у Вас есть настроенный NDoc, но конечно в MSDN документация кажется просто, естественно наследовали документы - и быстрая проверка предлагает , что VS не будет хныкать, когда Вы не пропогрузитесь документы для унаследованного метода. Стоящий попытки, конечно.