註解式結構描述安全性考量 (SQLXML 4.0)
下面是使用註解式結構描述的安全性指導方針:
請避免在對應結構描述中使用預設的對應。 預設對應會在產生的 XML 文件中公開資料庫資訊 (資料表和資料行名稱),因為根據預設,元素名稱會對應到資料表名稱,而屬性名稱則對應到資料行名稱。 因此,看到 XML 文件的任何使用者都可以存取資料庫中的資料表和資料行資訊,因此暴露潛在的安全性風險。 為避免此風險,請在結構描述中指定任意的元素和屬性名稱,並使用註解將其明確地對應到資料表和資料行。 如需有關建立 XSD 結構描述時使用預設對應的詳細資訊,請參閱<XSD 元素和屬性對資料表和資料行的預設對應 (SQLXML 4.0)>。
使用註解指定的明確對應會公開資料庫資訊 (例如資料表名稱和資料行名稱)。 因此,您可能不會想要公開地提供這些結構描述。
某些查詢 (例如,根據對應結構描述利用遞迴指定的查詢 (透過將 max-depth 註解設定為較高的值指定)) 執行時間可能更久。 您可以設定 Command Time Out 屬性,選擇性地指定逾時限制 (以秒為單位)。 例如:
cn.Open "Provider=SQLOLEDB;Server=localhost;Database=tempdb;Integrated Security=SSPI;Command Properties='Command Time Out=50';"