[習題][會員登入]避免SQL Injection的簡單範例 #1(引用 MSDN的 FileUpload程式碼)

摘要:[習題][會員登入]避免SQL Injection的簡單範例(引用 MSDN的 FileUpload程式碼)





 

以下的範例,是微軟 MSDN網站來的

HOW TO:以 FileUpload Web 伺服器控制項 上載檔案

資料來源:http://msdn.microsoft.com/zh-tw/library/ms227669%28v=vs.80%29.aspx

 

雖然是 FileUpload檔案上傳時,用來區別「副檔名」的一小段程式碼

只要我們有心學習,別人的片段程式,都能化為己用。

            Dim fileExtension As String = System.IO.Path.GetExtension(FileUpload1.FileName).ToLower()
            Dim allowedExtensions As
String() = {".jpg", ".jpeg", ".png", ".gif"}
            
            For i As Integer = 0 To allowedExtensions.Length - 1
                  If fileExtension = allowedExtensions(i) Then
                        fileOK = True
                  End If
            Next

C#範例 請看上面的超連結。

 

 

=====================================================================

這些程式碼,可以用在其他地方。

例如:會員登入時(輸入帳號、密碼),可以用他來檢查

        是否有 SQL Injection的關鍵字(攻擊字眼)

 

VB

        '=========================================== (Start)
        '-- 為了避免SQL Injection攻擊,發現可疑字將會立刻阻擋!

        Dim DangerousWords As String() = {" or ", "1=1", "1 = 1", "--", "'"}

        For i = 0 To (DangerousWords.Length - 1)
            If InStr(1, TextBox1.Text, DangerousWords(i)) Then
                Response.Write("<h2>發現可疑字  立刻阻擋!</h2>")
                Response.End()    '--程式終止。或是寫成 Exit Sub
            End If
        Next
        '=========================================== (End)

 

 

C#

        //=========================================== (Start)
        //-- 為了避免SQL Injection攻擊,發現可疑字將會立刻阻擋!

        string[] DangerousWords = { " or ", "1=1", "1 = 1", "--", "'" };

        for (int i = 0; i < DangerousWords.Length; i++)
        {
            if (TextBox1.Text.IndexOf(DangerousWords[i], 0) != -1)
            {
                Response.Write("<h2>發現可疑字  立刻阻擋!</h2>");
                Response.End();    //--程式終止。
            }
        }
        //=========================================== (End)

 

 

書本 (ASP.NET專題實務 / 松崗出版) 

    上集的 Ch. 16 狀態管理

    下集的 Ch. 12 會員登入與權限控管,都可以用到這個範例。

 

 

 

這些範例,我上課都會講到

但自己偷懶,都沒寫出來。

 

或許對我來說,一段程式碼給我,我可能會聯想到很多種用途。

但初學者、或是上課的學員,可能還沒辦法舉一反三。

 

所以我只要上課有提到,看到學員的表情

我就知道該不該寫下來(把這段範例文字化)

 

 

這也是我補充的一點上課講義。

 

請接著看下一篇相關文章:

[習題][會員登入]避免SQL Injection的簡單範例 #2(引用 MSDN的 Regex.Replace()方法)

 

 

 

 

 

 

 

我將思想傳授他人, 他人之所得,亦無損於我之所有;

猶如一人以我的燭火點燭,光亮與他同在,我卻不因此身處黑暗。----Thomas Jefferson

線上課程教學,遠距教學 (Web Form 約 51hr)  https://dotblogs.com.tw/mis2000lab/2016/02/01/aspnet_online_learning_distance_education_VS2015

線上課程教學,遠距教學 (ASP.NET MVC 約 135hr)  https://dotblogs.com.tw/mis2000lab/2018/08/14/ASPnet_MVC_Online_Learning_MIS2000Lab

 

寫信給我,不要私訊 --  mis2000lab (at) yahoo.com.tw  或  school (at) mis2000lab.net

 (1) 第一天 ASP.NET MVC5 完整影片(5.5小時 / .NET 4.x版)免費試聽。影片 https://youtu.be/9spaHik87-A 

 (2) 第一天 ASP.NET Core MVC 完整影片(3小時 / .NET Core 6.0~8.0)免費試聽。影片 https://youtu.be/TSmwpT-Bx4I 

[學員感言] mis2000lab課程評價 - ASP.NET MVC , WebForm  。 https://mis2000lab.medium.com/%E5%AD%B8%E5%93%A1%E6%84%9F%E8%A8%80-mis2000lab%E8%AA%B2%E7%A8%8B%E8%A9%95%E5%83%B9-asp-net-mvc-webform-77903ce9680b  


ASP.NET遠距教學、線上課程(Web Form + MVC)。 第一天課程, "完整" 試聽。 

.........   facebook社團   https://www.facebook.com/mis2000lab   ......................

.........  YouTube (ASP.NET) 線上教學影片  https://www.youtube.com/channel/UC6IPPf6tvsNG8zX3u1LddvA/

 

Blog文章 "附的範例" 無法下載,請看 https://dotblogs.com.tw/mis2000lab/2016/03/14/2008_2015_mis2000lab_sample_download

請看我們的「售後服務」範圍(嚴格認定)。

...................................................................................................................................................... 

ASP.NET MVC  => .NET Core MVC 線上教學  ...... 第一天課程 完整內容 "免費"讓您評估 / 試聽

[遠距教學、教學影片] ASP.NET (Web Form) 課程 上線了!MIS2000Lab.主講   事先錄好的影片,並非上課側錄!   觀看時,有如「一對一」面對面講課