一晃眼，鐵人賽剩下五天的額度就要完成
但還有很多東西沒有講。只能做一些取捨了....

網頁程式與一般程式有一些差異，其中「狀態管理」是比較特別的
Application / Session / ViewState / Cookies ....

礙於時間緣故，我今天分享 Session，並且透過會員登入的方式來介紹它

今天的 Youtube影片 -- https://youtu.be/HifbJHQcR-0

我們可以發現，以 Session來做，基本上是鎖定「瀏覽器」來作為判別、區分
可以從上面範例的 SessionID觀察出來

當然，也有人說：Session是 Web Server上記憶體的資源，最好不要用得太兇
所以，切記！不要將「大量的數據」放入 Session裡面。

講到了會員登入，接下來要講的就是資訊安全的問題
我們來討論 SQL Injection & "參數" 的寫法吧，以「會員登入」為例

YouTube影片 -- https://youtu.be/s75TfuOisoY

不管是寫書、上課、演講，我都會安排一個進度（一場表演）

第一步，大家慣用的 "簡單"寫法，一下子就做完了，看似簡單，但危機四伏！然後，我就去攻擊（如SQL Injection）

第二步，如果您要防範這樣的攻擊，可能要這樣做。例如：避開、取代、檢查對方是否輸入危險字元？（防範單引號？--符號？.....天啊！要防範的東西不少，要寫到哪一年才結束？）

第三步，是的，上面的攻擊有各種偽裝，你防不勝防，擋不住啊！

所以我們用「參數」來做，簡單明瞭。
所以我們用「參數」來做，簡單明瞭。
所以我們用「參數」來做，簡單明瞭。很重要，所以要說三次！

完整文章說明，請看 dotblogs.com.tw/mis2000lab/2016/12/16/sql_injection_20161216

實際上，在課程中，我們還會介紹 XSS攻擊與防禦。
使用微軟的 Anti-Xss Library，在.NET 4.5起已經內建囉！

明天見（下一篇文章） --