[習題][會員登入]避免SQL Injection的簡單範例 #2(引用 MSDN的 Regex.Replace()方法)

摘要: [習題][會員登入]避免SQL Injection的簡單範例 #2(引用 MSDN的 Regex.Replace()方法)





 

 

 

延續上一篇文章 --

[習題][會員登入]避免SQL Injection的簡單範例 #1(引用 MSDN的 FileUpload程式碼)
http://www.dotblogs.com.tw/mis2000lab/archive/2011/12/19/session_login_fileupload_sql_injection.aspx


我們仍然在MSDN範例裡面,找到類似的、好用的範例。
資料來源:http://msdn.microsoft.com/zh-tw/library/844skk0h.aspx
 

 

在書本「上集」(ASP.NET專題實務 / 松崗出版)第四章 的 驗證控制項
有一個 Regular Expression

透過它,我們可以將「可疑的」攻擊字眼,趁機排除

 

 


MSDN範例提到:(以下範例,我略有修改)

    規則運算式模式 [^\w\.@!] 會比對任何文字字元。
    
    但是,英文句號(.)、@符號、 ! 符號的字元例外。

    文字字元是指任何字母、十進位數字或標點符號連接,例如底線(_)。   
 

 

C#語法的範例:

    static string CleanInput1(string strIn)
    {
        //-- 正規運算式(Regular Expression)
        // Replace invalid characters with empty strings.

        return Regex.Replace(strIn, @"[^\w\.@!]", "");
       // 成功地排除一些攻擊字眼。符合這個模式的任何字元都會由 String.Empty 取代。

       // 也保留了使用者可用的特殊符號(如英文句號(.)、@符號、 ! 符號
    }

 

VB語法的範例,可以修改如下:

    Function CleanInput1(strIn As String) As String
        Return Regex.Replace(strIn, "[^\w\.@!]", "")
    End Function

 

 

 


簡單解釋上面的規則:


第一, ^符號,代表否定字元
[^character_group]  比對 “不”在 character_group 中的任何單一字元。
根據預設,character_group 中的字元 [會] 區分大小寫。    [^aei]    "reign"中的 "r"、"g"、"n"

第二, \w (注意,是小寫w)比對任何文字字元。文字字元 是指任何字母、十進位數字或標點符號連接,例如底線(_)。
            \W (注意,是大寫W)比對任何「非」文字字元。

第三,若可以接受的字元中包括這些特殊符號,則必須在特殊符號前加上 \符號

 

 

//== 自己寫的(宣告) ====
using System.Text.RegularExpressions;
//== 自己寫的(宣告) ====



    protected void Page_Load(object sender, EventArgs e)
    {
        string inputString = "SQL Injection:123、@、-、.、--、'、1=1、!、我";

        Label1.Text = CleanInput1(inputString);     //-- 自訂的函數,答案是    SQLInjection123@.11!我
        Label2.Text = CleanInput2(inputString);     //-- 自訂的函數,答案是    :、、-、、--、'、=、、
    }

    //=========================================
    static string CleanInput1(string strIn)
    {
        //-- 正規運算式(Regular Expression)
        // Replace invalid characters with empty strings.

        return Regex.Replace(strIn, @"[^\w\.@!]", "");

       // 成功地排除一些攻擊字眼。也保留了使用者可用的特殊符號(如英文句號(.)、@符號、 ! 符號
    }


    static string CleanInput2(string strIn)
    {
        //-- 正規運算式(Regular Expression)
        // Replace invalid characters with empty strings.

        return Regex.Replace(strIn, @"[\w\.@!]", "");
    }
 

 

下一篇文章(範例七),提供範例下載。

http://www.dotblogs.com.tw/mis2000lab/archive/2012/01/06/ch4_regex_sample_20120106.aspx

 

 

我將思想傳授他人, 他人之所得,亦無損於我之所有;

猶如一人以我的燭火點燭,光亮與他同在,我卻不因此身處黑暗。----Thomas Jefferson

寫信給我,不要私訊 --  mis2000lab (at) yahoo.com.台灣  或  school (at) mis2000lab.net



ASP.NET遠距教學、線上課程(Web Form + MVC)。 第二門 課程「四折」-- 以MVC課程 作優惠。
第一天課程, "完整" 試聽。  如不滿意  全額退費!
................   facebook社團   https://www.facebook.com/mis2000lab   ......................

................  YouTube (ASP.NET) 線上教學影片  http://goo.gl/rGLocQ

*********************************************************************************************

*** ASP.NET MVC線上課程 第一天 免費看 (5.5小時) *** 

************************************************************(歡迎索取,免費申請)*****

 

Blog文章 "附的範例" 無法下載,請看 這裡 ...... https://dotblogs.com.tw/mis2000lab/2016/03/14/2008_2015_mis2000lab_sample_download

請看我們的「售後服務」範圍(嚴格認定)

......................................................................................................................................................

...................................................................................................................................................... 

[遠距教學、教學影片] ASP.NET (Web Form) 課程 上線了!MIS2000Lab.主講

事先錄製好的影片,並非上課時側錄!   觀看影片時,有如我「一對一」跟您面對面講課

 

    MIS2000 Lab.  線上教學影片(YouTube) **免費觀賞**