Originariamente inviato da apusoft
Solitamente si preferisce invece predisporre dei metodi per la lettura/scrittura dei dati? Cioè dei metodi che ad esempio restituiscano in XML l'anagrafica di un cliente fornendo il suo identificativo tramite SOAP? É questo l'approccio più corretto?
Quindi lo sviluppatore del gestionale dovrebbe fornire specifici metodi per accedere in lettura/scrittura per gli specifici dati di mio interesse?
Si, è proprio questo l'approccio migliore e più sicuro. In questo modo è responsabilità del lato server determinare se la richiesta effettuata dal client è lecita o meno, se i dati corrispondono alle regole di validazione, eccetera.
Nessuno ti vieta di passare una stringa SQL sul metodo di una funzione WCF, ma sarebbe veramente pericoloso se qualcuno riuscisse ad intercettare la chiamata e ad inserire un altro SQL malizioso, come un DELETE * FROM Customers piuttosto che un DROP TABLE Customers...