Ciao a tutti,
devo fare in modo che un mio "fornitore" possa scrivere su un DB (MS SQL) che risiede su una mia macchina...

Le soluzioni che mi vengono in mente sono:

1- "esporre" il DB su internet (ma mi piace poco...)
2- procedere per la strada webservice
3- fare una semplice pagina aspx su internet, che riceve una chiamata POST ed inserisce le variabili POST ricevute nel DB


Per questioni di comodità, preferirei prendere la strada n° 3... voi che ne pensate? optereste anche voi per la 3? Se si, quale modo consigliate per rendere la cosa "abbastanza" sicura? (chessò... faccio un controllo su un cookie, piuttosto che un token testuale...)


Grazie a tutti, ciao!

edodad ha scritto:

1- "esporre" il DB su internet (ma mi piace poco...)

Direttamente??? MAI, nemmeno da morto.

2- procedere per la strada webservice

Questa è decisamente la soluzione che preferisco e che adotterei, sia nel mio interesse che in quello del fornitore: indipendenza dalla piattaforma, estensibilità, UI personalizzabile, sicurezza... i motivi sono tanti!

3- fare una semplice pagina aspx su internet, che riceve una chiamata POST ed inserisce le variabili POST ricevute nel DB

Mmmm... un po' una soluzione "vecchio stile". Può andare ma ha troppi vincoli rispetto ad un servizio.
E comunque non inserire le variabili ricevute via POST nel DB: valida *sempre* l'input dell'utente, almeno sul tipo!

Per questioni di comodità, preferirei prendere la strada n° 3

Sicuro che sia più comodo un webform anziché un web service? IMHO è esattamente l'opposto...

HTH

edodad ha scritto:

Se scegliessi la strada numero 3, quale strataggemma di sicurezza mi cosigliereste di adottare, onde evitare che chiunque faccia un post sulla pagina mi inserisca dati nel DB? mi viene in mente un cookie, è fattibile?

!

io creerei un account per il soggetto che deve postare i dati sul db.

Quindi per poterpostare deve fare un login da qualche parte, prima sicurezza.

Poi quando posta i dati via post, ti fai arrivare anche il suo ID, in un kookie, o var session, e prima di avviare la scrittura sul db verifichi che quell'ID che è pervenuto insieme ai dati esista nel db, se esite procedi, sempre usando chiaramente query parametriche!!!!!!
se l'id non è quello giusto, gli dai un bel messaggio: Stai tentando di fare il Furbo, ti prendi il suo IP e ti fai inviare questi dati via e mail, non lo beccherai mai, ma perlomeno hai traccia dei tentativi di furbate che se aumentano vuol dire che il sistema è da ripensare!


ciao

Riccardo