资料库-建国科技大学.ppt

改寫登入 SQL Injection 資料隱碼攻擊 SQL指令的漏洞 ‘ or 1=1 – ‘ or 1=1 or 1=‘ or = 取代有問題的字元 ‘ - / 等 避免SQL Injection private string fixsql(string sql) { sql = sql.Replace(, ); sql = sql.Replace(\\, //); sql = sql.Replace(-, _); sql = sql.Replace(*, _); sql = sql.Replace(+, _); return sql; }  制輸入的長度降低sql server使用者權限 至少不幸被入侵,只是修改或刪除記錄而不會整個database被刪除 避免SQL Injection 改用ASP.NET參數方式帶入 參數 ? 表示要區分大小寫 購物車結帳 練習1 製作一個註冊的表單 加入Validation檢查 必要輸入、帳號密碼不可以一樣 輸入長度檢查 ^[\s\S]{6,10}$ 密碼強度(大小寫至少1，混合數字，長度6~10) ^(?=.*\d)(?=.*[a-z])(?=.*[A-Z]).{6,10}$ Email格式等 * * Bind Image 資料庫內儲存照片檔名(位置在server內固定位置，例如images) 透過ListView新增圖片(I) 在InsertTemplate中加入fileupload控制項 透過ListView新增圖片(II) 將要顯示圖片名稱欄位的輸入框(id=xyz)之ClientIDMode屬性設定為Static 透過JavaScript將Fileupload選擇的圖片名稱顯示到輸入框內 透過ListView新增圖片(II) Code in Insert button Code in Insert button Bind Button 要抓到ListView內繫結的物件(如Button)事件，要設定Button的CommandArgument 設定按下後要取得的值 撰寫Button事件 要取得上一頁的p_id，要用的是Button_Command事件，而不是Button_Click事件 ListView + Session 購物車 Session購物車 確定已經設定按鈕的CommandArgument 如果要加入數量選擇或輸入到ListView 將購買按鈕的事件改為ListView1_ItemCommand 找到TextBox2 選擇的項目index 購物按鈕(I) 購物按鈕(II) 檢視購物車 可以自己定義版面 寫程式連資料庫 ADO.NET 再看回ASP.NET資料庫設計模式 上圖的物件是大架構 表示跟資料庫種類無關 可是現實是，資料庫種類不完全相同 那要怎麼處理呢？ 微軟把個別資料庫連結方式做分類，放在名稱空間內(namespace) 需要時再叫進來就可以 依據不同資料庫，會在物件前面加上適當的冠詞 ADO.NET ADO.NET 是用來存取資料庫的物件集合 核心命名空間: 一般: System.Data, System.Data.Common SQL Server: System.Data.SqlClient Oracle: System.Data.OracleClient OleDB: System.Data.OleDb (Access) ODBC: System.Data.Odbc 利用Using指令參考ADO.NET物件 以ON-LINE MODE讀取資料為例 On-line mode 用戶端 DataReader 透過 DataReader 物件可以逐一讀取資料 DataReader = 只能下一筆、唯讀的讀取 根據要求將記錄以串流的方式傳回用戶端 佔用資料庫連線，使用伺服端資源直到連線關閉 record record 記錄 DataReader 資料庫引擎 資料庫存取五步驟 ADO.NET存取資料時，使用以下五大步驟: Using ADO.NET物件 (依資料庫種類而定) 開啟資料庫連線 ? DBMS+DB層 (CONNECTION物件) 進行資料庫操作 (讀取/寫入) ? TABLE層 (COMMAND+DATAREADER物件) 顯示資料 關閉資料庫連線 DataReader資料存取示意圖 DBMS DB TABLE CONNECTION物件 負責連結DBMS與DB COMMAND物件 負責SQL指令 DataReader物件 負責取出DATA