[習題][會員登入]避免SQL Injection的簡單範例 #2(引用 MSDN的 Regex.Replace()方法)

摘要: [習題][會員登入]避免SQL Injection的簡單範例 #2(引用 MSDN的 Regex.Replace()方法)





 

 

 

延續上一篇文章 --

[習題][會員登入]避免SQL Injection的簡單範例 #1(引用 MSDN的 FileUpload程式碼)
http://www.dotblogs.com.tw/mis2000lab/archive/2011/12/19/session_login_fileupload_sql_injection.aspx


我們仍然在MSDN範例裡面,找到類似的、好用的範例。
資料來源:http://msdn.microsoft.com/zh-tw/library/844skk0h.aspx
 

 

在書本「上集」(ASP.NET專題實務 / 松崗出版)第四章 的 驗證控制項
有一個 Regular Expression

透過它,我們可以將「可疑的」攻擊字眼,趁機排除

 

 


MSDN範例提到:(以下範例,我略有修改)

    規則運算式模式 [^\w\.@!] 會比對任何文字字元。
    
    但是,英文句號(.)、@符號、 ! 符號的字元例外。

    文字字元是指任何字母、十進位數字或標點符號連接,例如底線(_)。   
 

 

C#語法的範例:

    static string CleanInput1(string strIn)
    {
        //-- 正規運算式(Regular Expression)
        // Replace invalid characters with empty strings.

        return Regex.Replace(strIn, @"[^\w\.@!]", "");
       // 成功地排除一些攻擊字眼。符合這個模式的任何字元都會由 String.Empty 取代。

       // 也保留了使用者可用的特殊符號(如英文句號(.)、@符號、 ! 符號
    }

 

VB語法的範例,可以修改如下:

    Function CleanInput1(strIn As String) As String
        Return Regex.Replace(strIn, "[^\w\.@!]", "")
    End Function

 

 

 


簡單解釋上面的規則:


第一, ^符號,代表否定字元
[^character_group]  比對 “不”在 character_group 中的任何單一字元。
根據預設,character_group 中的字元 [會] 區分大小寫。    [^aei]    "reign"中的 "r"、"g"、"n"

第二, \w (注意,是小寫w)比對任何文字字元。文字字元 是指任何字母、十進位數字或標點符號連接,例如底線(_)。
            \W (注意,是大寫W)比對任何「非」文字字元。

第三,若可以接受的字元中包括這些特殊符號,則必須在特殊符號前加上 \符號

 

 

//== 自己寫的(宣告) ====
using System.Text.RegularExpressions;
//== 自己寫的(宣告) ====



    protected void Page_Load(object sender, EventArgs e)
    {
        string inputString = "SQL Injection:123、@、-、.、--、'、1=1、!、我";

        Label1.Text = CleanInput1(inputString);     //-- 自訂的函數,答案是    SQLInjection123@.11!我
        Label2.Text = CleanInput2(inputString);     //-- 自訂的函數,答案是    :、、-、、--、'、=、、
    }

    //=========================================
    static string CleanInput1(string strIn)
    {
        //-- 正規運算式(Regular Expression)
        // Replace invalid characters with empty strings.

        return Regex.Replace(strIn, @"[^\w\.@!]", "");

       // 成功地排除一些攻擊字眼。也保留了使用者可用的特殊符號(如英文句號(.)、@符號、 ! 符號
    }


    static string CleanInput2(string strIn)
    {
        //-- 正規運算式(Regular Expression)
        // Replace invalid characters with empty strings.

        return Regex.Replace(strIn, @"[\w\.@!]", "");
    }
 

 

下一篇文章(範例七),提供範例下載。

http://www.dotblogs.com.tw/mis2000lab/archive/2012/01/06/ch4_regex_sample_20120106.aspx

 

 

我將思想傳授他人, 他人之所得,亦無損於我之所有;

猶如一人以我的燭火點燭,光亮與他同在,我卻不因此身處黑暗。----Thomas Jefferson

線上課程教學,遠距教學 (Web Form 約 51hr)  https://dotblogs.com.tw/mis2000lab/2016/02/01/aspnet_online_learning_distance_education_VS2015

線上課程教學,遠距教學 (ASP.NET MVC 約 135hr)  https://dotblogs.com.tw/mis2000lab/2018/08/14/ASPnet_MVC_Online_Learning_MIS2000Lab

 

寫信給我,不要私訊 --  mis2000lab (at) yahoo.com.tw  或  school (at) mis2000lab.net

 (1) 第一天 ASP.NET MVC5 完整影片(5.5小時 / .NET 4.x版)免費試聽。影片 https://youtu.be/9spaHik87-A 

 (2) 第一天 ASP.NET Core MVC 完整影片(3小時 / .NET Core 6.0~8.0)免費試聽。影片 https://youtu.be/TSmwpT-Bx4I 

[學員感言] mis2000lab課程評價 - ASP.NET MVC , WebForm  。 https://mis2000lab.medium.com/%E5%AD%B8%E5%93%A1%E6%84%9F%E8%A8%80-mis2000lab%E8%AA%B2%E7%A8%8B%E8%A9%95%E5%83%B9-asp-net-mvc-webform-77903ce9680b  


ASP.NET遠距教學、線上課程(Web Form + MVC)。 第一天課程, "完整" 試聽。 

.........   facebook社團   https://www.facebook.com/mis2000lab   ......................

.........  YouTube (ASP.NET) 線上教學影片  https://www.youtube.com/channel/UC6IPPf6tvsNG8zX3u1LddvA/

 

Blog文章 "附的範例" 無法下載,請看 https://dotblogs.com.tw/mis2000lab/2016/03/14/2008_2015_mis2000lab_sample_download

請看我們的「售後服務」範圍(嚴格認定)。

...................................................................................................................................................... 

ASP.NET MVC  => .NET Core MVC 線上教學  ...... 第一天課程 完整內容 "免費"讓您評估 / 試聽

[遠距教學、教學影片] ASP.NET (Web Form) 課程 上線了!MIS2000Lab.主講   事先錄好的影片,並非上課側錄!   觀看時,有如「一對一」面對面講課