iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 25
2
Modern Web

ASP.NET (Web Form)快速入門,全程Youtube影片教學系列 第 25

狀態管理 與 會員登入,兼論SQL Injection攻擊

一晃眼,鐵人賽剩下五天的額度就要完成
但還有很多東西沒有講。只能做一些取捨了....

網頁程式與一般程式有一些差異,其中「狀態管理」是比較特別的
Application / Session / ViewState / Cookies ....

礙於時間緣故,我今天分享 Session,並且透過會員登入的方式來介紹它

今天的 Youtube影片 -- https://youtu.be/HifbJHQcR-0

我們可以發現,以 Session來做,基本上是鎖定「瀏覽器」來作為判別、區分
可以從上面範例的 SessionID觀察出來

當然,也有人說:Session是 Web Server上記憶體的資源,最好不要用得太兇
所以,切記!不要將「大量的數據」放入 Session裡面。


講到了會員登入,接下來要講的就是資訊安全的問題
我們來討論 SQL Injection & "參數" 的寫法吧,以「會員登入」為例

YouTube影片 -- https://youtu.be/s75TfuOisoY

不管是寫書、上課、演講,我都會安排一個進度(一場表演)

第一步,大家慣用的 "簡單"寫法,一下子就做完了,看似簡單,但危機四伏!然後,我就去攻擊(如SQL Injection)

第二步,如果您要防範這樣的攻擊,可能要這樣做。例如:避開、取代、檢查對方是否輸入危險字元?(防範單引號?--符號?.....天啊!要防範的東西不少,要寫到哪一年才結束?)

第三步,是的,上面的攻擊有各種偽裝,你防不勝防,擋不住啊!

所以我們用「參數」來做,簡單明瞭。
所以我們用「參數」來做,簡單明瞭。
所以我們用「參數」來做,簡單明瞭。很重要,所以要說三次!

完整文章說明,請看 dotblogs.com.tw/mis2000lab/2016/12/16/sql_injection_20161216

實際上,在課程中,我們還會介紹 XSS攻擊與防禦。
使用微軟的 Anti-Xss Library,在.NET 4.5起已經內建囉!

明天見(下一篇文章) --


上一篇
HTML5的picture標籤 - 自動調整圖片大小
下一篇
會員登入 - ASP.NET Identity
系列文
ASP.NET (Web Form)快速入門,全程Youtube影片教學30

尚未有邦友留言

立即登入留言