あたりまえのようでもまとまってるとうれしい。
Microsoftのコンサル部隊でもSQLサーバロールはdb_datareader,db_datawriterを使うもんらしい。
SQLServer自体の勉強してた時は、自分でサーバロール決める方がいいのかなーとぼんやり思っていたのだが。 Windows統合認証で完全に統合するんでないWebアプリケーションだったら固定サーバロールで十分ということか。
あと、Vol.3にあった
Server.Transfer でなく、Response.Redirect でページ遷移すべき
というのは意外だった。 Sessionオブジェクトの適切な利用まで考えるんだったら、値のひきまわし部分の実装は自分でやれということか。 効率の上でもHTTPプロトコルにのせるパラメーターは制限すべきだしな。 効率と抽象化のせめぎあいを見た感じ。
パスワード管理の時にハッシュ作成前に加える文字列 salt をユーザごとに用意してデータベースに保存しておくというのは目から鱗。 システム内で共通に持つ文字列は pepper とでも呼ぶのかな?