ASP.NET 2.0打造购物车和支付系统之二

四、一个值得注意的安全问题

　　在你的系统的用户有机会输入数据的任何地方都应该严格控制以确保他们没有输入任何不想实现的内容。一个普通问题就是SQL注入。在这种位置，有些人可以把SQL代码输入到一个站点的某个部分，然后你可以在你想使用的原始SQL语句内使用它。所以，比方说相应于quantity域，你可以使用：

"UPDATE tbl_basket SET quantity = " + quantity.Text + " WHERE user_id = " + user_id;

　　如果顾客在"quantity"文本框内输入6并且他们的登录id是230，那么上面的代码将看起来象：

UPDATE tbl_basket SET quantity = 6 WHERE user_id = 230;

　　而如果顾客输入：

" 1 WHERE 1 = 1; DROP tbl_users; --"

　　那么，原始语句现在看起来象：

UPDATE tbl_basket SET quantity = 1 WHERE 1 = 1; DROP tbl_users; -- WHERE user_id =;

　　这样以来，他们可以使用"1 WHERE 1 = 1;"来完成原始语句，然后继续"Drop tbl_ users;"操作，这很不妙！最后，他们可以注释掉原始语句的其它部分。其实，这仅是一个极其简单的示例。有关于SQL注入的问题，你可以在网站上搜到许多信息。

　　五、 支付

　　存在许多种使用电子业务方式接收支付的方法。下面列出几种：

　　· 在线商店实际上并不仅仅是一个在线目录，顾客往往还必须能够电话联系到你以便进行订购。

　　· 类似上面这种情形，除非你亲自找到顾客来完成整个交易。如果这是有关一些建筑方面的工作（例如一个院子或一个厨房），并且在实地考察之后你需要当场向他们提出一个报价，那么这可能很重要。

　　· 使用一种内置安全的支付方法。通过这种方法，顾客能够输入他们的信用卡细节并且可以由系统自动处理交易。

　　· 使用例如PayPal、Worldpay或DebiTech等一种外部支付方法。

　　本文中的演示商店基于一种旧式风格的使用PayPal接收支付的方法。它应该与其它外部支付系统（例如稍经修改的WorldPay）结合在一起工作。我们之所以说是"旧式风格"是因为，现在的PayPal一般都提供其自己的.net工具包-实现它们自己的连接到它们的站点的系统。

　　整个收集购物篮数据并把它转移到PayPal的系统都是在shopBasketCheckout_OnServerClick()函数内实现的：

protected void shopBasketCheckout_OnServerClick(object source，EventArgs e) { 　string postData = ""; 　postData += "currency_code=GBP"; 　postData += "&cmd=_cart"; 　postData += "&business=youremailaddress@yourdomain.net"; 　postData += "&upload=1"; 　postData += "&cancel_return=www.davidmillington.net"; 　DataTable dtBasket = getBasketDt(); 　double total = 0.00; 　for(int i = 0; i < dtBasket.Rows.Count; i++) 　{ 　　postData += "&item_name_" + (i + 1) + "=" + 　　dtBasket.Rows[i]["name"]; 　　postData += "&quantity_" + (i + 1) + "=" + 　　dtBasket.Rows[i]["quantity"]; 　　postData += "&amount_" + (i + 1) + "=" + 　　Convert.ToDouble(dtBasket.Rows[i]["price"]); 　　total += (Convert.ToDouble(dtBasket.Rows[i] ["price"]) * Convert.ToInt32(dtBasket.Rows[i]["quantity"])); 　　if(i == dtBasket.Rows.Count - 1) 　　{ 　　　postData += "&shipping_" + (i + 1) + "=" + calcDeliveryCost(total); 　　} 　　else 　　{ 　　　postData += "&shipping_" + (i + 1) + "=0.00"; 　　} 　　postData += "&shipping2_" + (i + 1) + "=0.00"; 　　postData += "&handling_" + (i + 1) + "=0.00"; 　} 　postData += "&handling=" + calcDeliveryCost(total); 　byte[] data = Encoding.ASCII.GetBytes(postData); 　HttpWebRequest ppRequest = (HttpWebRequest) WebRequest.Create("https://www.paypal.com/cgi-bin/webscr");; 　ppRequest.Method = "POST"; 　ppRequest.ContentType = "application/x-www-form- 　urlencoded"; 　ppRequest.ContentLength = data.Length; 　//发送 　Stream ppStream = ppRequest.GetRequestStream(); 　ppStream.Write(data， 0， data.Length); 　ppStream.Close(); 　//接收 　HttpWebResponse ppResponse = (HttpWebResponse)ppRequest.GetResponse(); 　StreamReader sr = new StreamReader(ppResponse.GetResponseStream()); 　string strResult = sr.ReadToEnd(); 　sr.Close(); 　//输出到屏幕 　Response.Clear(); 　Response.Write(strResult); 　Response.End(); }

　　因为看起来没有一种办法使一个C#应用程序实现寄送并重定向到另一个站点（就象你通常使用一个<form > action属性所实现的那样），所以我们必须采用一种稍微不同的方法。我们构建了一个long型字符串，它包含多个名/值对，然后使用HttpWebRequest和HttpWebResponse对象来从支付服务中来回发送与接收数据。

　　该函数的第一部分指定PayPal帐户细节，例如使用的货币，帐户名以及PayPal应该把顾客返回的页面（如果他们决定取消该交易的话）。

　　下一步是遍历购物篮并且检索所有我们想传递到PayPal的产品信息。这包括产品名称、数量和价格。由于该演示程序的特点，我们在运送费用方面稍微施加了一点技巧并且把整个运送费用添加到购物篮中最后一件产品上而不是添加到每一件产品。这是因为我们仅基于购物篮的总价求出总的运送费用，而不是基于任何产品种类。

　　现在，我们来讨论有趣的部分。我承认，这是我通过Google引擎查询的结果。首先我们创建一个Request对象，当我们经由一个Stream联系到PayPal时使用它。我们使用一个Response对象来接收该响应并简单地把它通过Response.Write()输出到屏幕。这可以把整个购物篮信息输送到PayPal站点并把它导向正确的帐户。

　　现在的问题是，顾客到达的第一个页面在相应的地址栏内仍然有你的商店地址。如果他们点击该PayPal站点的任何链接，例如观看购物篮内容或进行登录的话，那么该地址应该相应地改变以反映它确实是PayPal。你可能意识到，有些人可能会被误解，因为这样的事实-他们仍然能够在地址栏中看到你的商店的地址并且甚至可能认为你在试图骗取他们的PayPal或银行帐户细节。如果你正在计划经由一个外部系统例如PayPal或WorldPay来实现支付，那么你应该检查它们的开发者站点来看一下他们推荐的.net方案是什么。

　　六、结论

　　在本节中，我们首先分析一种生成GridView的DataSource的方法，然后继续使用该数据来创建一个全功能的购物接口。尽管该演示程序中的DataSource可以自由创建；但是，如果你或者有大量的产品或仅拥有一个经常改变的产品线的话，你确实应该需要考虑使用一个数据库来存储你的产品信息。当然，把一个数据库添加到系统中等于打开了它自己的病毒库；因此，这是一种不应该轻易采取的措施。

　　需要特别注意的地方是支付系统。该演示商店使用一个很简单的方法来收集要求的购物篮信息并把它发送到一个外部支付系统。你可能想使用更多的控件来实现支付处理，例如提取顾客的支付细节并把它们存储到一个数据库，或编写你自己的电子销售点功能。不管你选择什么方法，你应该清醒地认识到在你的国家实现接收和支付的合法性。

　　在本系列下一篇中，我们将讨论更改GridView外观的一些方法。

查看本文来源