無論如何,出版社PO出 "片段的" 試讀頁數
這些內容可能造成危害、或是被不明究竟的初學者誤用、引用......這都是不對的!都需要改進!
所以我已經請出版社,更換試讀內容。或是給予「完整章節」的內容,不要是片段(尤其是 "有害"的片段)
出版社給的試讀內容,剛好就是有 SQL Inecjtion的這幾個範例
因為「試讀」只是片段,所以前前後後的解說,參數的寫法......都沒有出現
上述的程式,經過補強後,應該是 ----
=== C#語法如下 ===========
//SqlCommand cmd = new SqlCommand("select [name], [password] from db_user where [name] = '" + TextBox1.Text + "' and [password] = '" + TextBox2.Text + "'", Conn);
//*** 請注意資料隱碼攻擊(SQL Injection攻擊)***。改用下列參數寫法比較安全。
SqlCommand cmd = new SqlCommand("select id, [name], [password] from db_user where [name] = @nm and [password] = @passwd", Conn);
cmd.Parameters.AddWithValue("@nm", TextBox1.Text);
cmd.Parameters.AddWithValue("@passwd", TextBox2.Text);
dr = cmd.ExecuteReader(); //---- 這時候執行SQL指令,取出資料
=== VB語法如下 ===========
'*** Dim cmd As SqlCommand = New SqlCommand("select name, password from db_user where [name] = '" & TextBox1.Text & "' and [password] = '" & TextBox2.Text & "'", Conn)
'*** 請注意資料隱碼攻擊(SQL Injection攻擊)。請改寫如下
Dim cmd As SqlCommand = New SqlCommand("select name, password from db_user where [name] = @name and [password] = @password", Conn)
cmd.Parameters.AddWithValue("@name", TextBox1.Text)
cmd.Parameters.AddWithValue("@password", TextBox2.Text)
dr = cmd.ExecuteReader() '---- 這時候執行SQL指令,取出資料
您可以在這裡 下載範例 https://onedrive.live.com/?id=6F7F668080F24B20%21733&cid=6F7F668080F24B20
看到這些章節裡面的範例,都有加上「參數」寫法
如果讀者照著順序來看書,可以發現在這幾章都會「重複」「碎碎念」的提到
SQL Injection攻擊(資料隱碼、數據注入) 與 防範的方式(參數的寫法)
第13章 ADO.NET四大範本、GridView自行寫程式完成100%功能
第14章 ADO.NET主表明細與留言板參數(Parameter)的寫法
第17章 自己動手寫程式:多重欄位的搜尋引擎
不管是寫書、上課、演講,我都會安排一個進度(一場表演)
第一步,大家慣用的 "簡單"寫法,一下子就做完了,看似簡單,但危機四伏!
然後,我就去攻擊(如SQL Injection)
第二步,如果您要防範這樣的攻擊,可能要這樣做。例如:避開、取代、檢查對方是否輸入危險字元?(防範單引號?--符號?.....天啊!要防範的東西不少,要寫到哪一年才結束?)
第三步,是的,上面的攻擊有各種偽裝,你防不勝防,擋不住啊!
所以我們用「參數」來做,簡單明瞭。
如果第一次就用「參數」的寫法,初學者會怕。因為程式碼一 "長",初學者就會怕
我們得讓他知道「不這樣做的後果」,讓他比較,兩害相權取其輕
這就是一場表演、上課的流程
不光是給予正確的觀念、正確的範例而已,更要讓他心服口服「為何要這樣做?」
我錄製了 YouTube影片,您可以參考一下我的教學流程(演示上面的三步驟)
無論如何,出版社PO出 "片段的" 試讀頁數
這些內容可能造成危害、或是被不明究竟的初學者誤用、引用......這都是不對的!都需要改進!
所以我已經請出版社,更換試讀內容。
或是給予「完整章節」的內容,不要是片段(尤其是 "有害"的片段)
您可以在這裡 下載範例 https://onedrive.live.com/?id=6F7F668080F24B20%21733&cid=6F7F668080F24B20
看到這些章節裡面的範例,都有加上「參數」寫法
關於資料隱碼與參數的寫法,也可以參閱
[轉貼][ADO.NET] DataSet / DataAdapter 參數(Parameters)的各種範例
https://dotblogs.com.tw/mis2000lab/archive/2011/03/24/dataadapter_parameter_20110324.aspx
[FAQ] ADO.NET 參數寫法 Parameter(避免SQL Injection資料隱碼攻擊)
https://dotblogs.com.tw/mis2000lab/2015/11/26/adonet_parameter_sql_injection_20151126
[FAQ] ADO.NET 參數寫法 Parameter #2(避免SQL Injection資料隱碼攻擊) SqlParameterCollection
https://dotblogs.com.tw/mis2000lab/archive/2015/01/21/sqlparametercollection_sqlparameter_addrange.aspx
ASP.NET學習教材(第二版) http://www.books.com.tw/products/0010736860
我將思想傳授他人, 他人之所得,亦無損於我之所有;
猶如一人以我的燭火點燭,光亮與他同在,我卻不因此身處黑暗。----Thomas Jefferson
線上課程教學,遠距教學 (Web Form 約 51hr) https://dotblogs.com.tw/mis2000lab/2016/02/01/aspnet_online_learning_distance_education_VS2015
線上課程教學,遠距教學 (ASP.NET MVC 約 140hr) https://dotblogs.com.tw/mis2000lab/2018/08/14/ASPnet_MVC_Online_Learning_MIS2000Lab
寫信給我,不要私訊 -- mis2000lab (at) yahoo.com.tw 或 school (at) mis2000lab.net
(1) 第一天 ASP.NET MVC5 完整影片(5.5小時 / .NET 4.x版)免費試聽。影片 https://youtu.be/9spaHik87-A
(2) 第一天 ASP.NET Core MVC 完整影片(3小時 / .NET Core 6.0~8.0)免費試聽。影片 https://youtu.be/TSmwpT-Bx4I
[學員感言] mis2000lab課程評價 - ASP.NET MVC , WebForm 。 https://mis2000lab.medium.com/%E5%AD%B8%E5%93%A1%E6%84%9F%E8%A8%80-mis2000lab%E8%AA%B2%E7%A8%8B%E8%A9%95%E5%83%B9-asp-net-mvc-webform-77903ce9680b
ASP.NET遠距教學、線上課程(Web Form + MVC)。 第一天課程, "完整" 試聽。
......... facebook社團 https://www.facebook.com/mis2000lab ......................
......... YouTube (ASP.NET) 線上教學影片 https://www.youtube.com/channel/UC6IPPf6tvsNG8zX3u1LddvA/
Blog文章 "附的範例" 無法下載,請看 https://dotblogs.com.tw/mis2000lab/2016/03/14/2008_2015_mis2000lab_sample_download
請看我們的「售後服務」範圍(嚴格認定)。
......................................................................................................................................................
ASP.NET MVC => .NET Core MVC 線上教學 ...... 第一天課程 完整內容 "免費"讓您評估 / 試聽
[遠距教學、教學影片] ASP.NET (Web Form) 課程 上線了!MIS2000Lab.主講 事先錄好的影片,並非上課側錄! 觀看時,有如「一對一」面對面講課。
