Aspx、クラスのグローバルインスタンス、コード構造の可能性のあるバグ

Question

古いaspxコードのバグを追跡しています。問題は、2人のユーザーが非常にまれな1つ（1/10,000ページビュー程度）のユーザーが混在していることです。ユーザAはユーザBのデータを見る。

loginpageで

Public Module MyGlobals 
    Public myUser As CMyUser 
End Module 

、我々は、ユーザー名/パスワードを検証している場合に有効な、その後coorospondingユーザーID：我々は、このようにモジュールで定義されているユーザークラスを持っている：ここでは

は、コードが構成されている方法ですDBからロードされた、と私たちは何されています

FormsAuthentication.SetAuthCookie(userid, False) 

はその後、我々は安全な場所にリダイレクトします。安全なエリアマスターページでは、イベントPage_Initに、我々はその後、持っている：

If Context.User.Identity.IsAuthenticated then 
    ' Initialize the user class (user data is loaded) 
    MyGlobals.myUser = New CMyUser(Context.User.Identity.Name) 
Else 
    ' Redirect to loginpage 
End If 

以下、持っているすべてのページから

MyGlobals.myUser

インスタンスにアクセスすることが安全ですマスターページとしての安全なマスターページ、またはこの構造に問題がある可能性がありますか？

Answer 1

VB.Netモジュールは、プライベートコンストラクタとC＃の静的フィールドのみを持つ静的クラスに似ています。

つまり、モジュールで宣言されたすべての変数はすべてのスレッドで共有されます。したがって、このモジュールを使用しているすべてのリクエスト（User）は古い値を上書きします。

セッションを使用してユーザーに重要なデータを保存することを強くお勧めします。 しかし、なぜ私はあなたが上に自分自身を示しているようにFormsAuthenticationを使用して既に格納されているので、ユーザー名を保存したいのか分かりません。

本当にこのラッパーが必要な場合は、簡単HttpContext.Current.Sessionを経由しても、静的コンテキストでそれを達成できる：

Module MyGlobals 
    Public Property myUser As CMyUser 
     Get 
      If HttpContext.Current.Session("CurrentUser") Is Nothing Then 
       Return Nothing 
      Else 
       Return DirectCast(HttpContext.Current.Session("CurrentUser"), CMyUser) 
      End If 
     End Get 
     Set(ByVal value As CMyUser) 
      HttpContext.Current.Session("CurrentUser") = value 
     End Set 
    End Property 
End Module