【正文】 69 JavaScript 程式設(shè)計(jì)與應(yīng)用：用於伺服器端的 ASP環(huán)境 檢示資料範(fàn)例 (8) ? SELECT Name, WinNo FROM Team WHERE WinNo10 ORDER BY WinNo DESC ? 意義：「勝場數(shù)大於 10」的球隊(duì)名稱及其勝場數(shù)，並根據(jù)勝場數(shù)由大到小排列 ? 說明：若不加入 DESC， 則會(huì)進(jìn)行由小到大的排序。） 。臺(tái)北隊(duì) 39。 54/69 JavaScript 程式設(shè)計(jì)與應(yīng)用：用於伺服器端的 ASP環(huán)境 CREATE TABLE ? 新增資料表：使用的 SQL 指令是 CREATE TABLE ? 基本結(jié)構(gòu) ? 說明 ? 如果新增的資料非一列可以表示的，就需要新增資料表。 DELETE FROM 資料表名稱 WHERE 條件式 58/69 JavaScript 程式設(shè)計(jì)與應(yīng)用：用於伺服器端的 ASP環(huán)境 DROP TABLE ? 刪除資料表：使用的 SQL 指令是「 DROP TABLE」 ? 基本結(jié)構(gòu) ? 說明 ? 在論壇管理系統(tǒng)中，要?jiǎng)h除某個(gè)討論區(qū)會(huì)用到。 60/69 JavaScript 程式設(shè)計(jì)與應(yīng)用：用於伺服器端的 ASP環(huán)境 範(fàn)例 186 ? 主題：可隨時(shí)對(duì)資料表進(jìn)行修改刪除的範(fàn)例 ? Webpage: remote host, local host ? 說明 ? 這個(gè)範(fàn)例，可以讓你在網(wǎng)頁上嘗詴各種查詢動(dòng)作，例如新增、修改、刪除等。 64/69 JavaScript 程式設(shè)計(jì)與應(yīng)用：用於伺服器端的 ASP環(huán)境 SQL Injection簡介 ? 「資料隱碼」（ SQL Injection）臭蟲，簡單地說，就是將「帳號(hào)」和「密碼」欄位填入具有單引號(hào)的特殊字串，造成伺服器端在接合這些欄位資料時(shí)，會(huì)意外地產(chǎn)生合格的 SQL 指令，造成密碼認(rèn)證的成功。 and passwd=39。=39。xyz39。 ? 這些字元包括單引號(hào)（ ‘）、雙引號(hào)（ “）、問號(hào)（ ?）、星號(hào) （ *）、底線（ _）、百分比（ %）、ampersand（ amp。/g, )。 （請(qǐng)寫出你的全名，以示負(fù)責(zé)，並將 副本給我，以便登記發(fā)問一次） JavaScript 程式設(shè)計(jì)與應(yīng)用：用於伺服器端的 ASP環(huán)境 參考資料 ? 可以形成 SQL Injection 的惡意字串還不少，但大部分是針對(duì)微軟的 SQL Server 資料庫來進(jìn)行破壞。 ? 請(qǐng)通知該網(wǎng)站管理員，並表示自己無惡意： 70/69 我們研習(xí)張智星老師的「 JavaScript程式設(shè)計(jì)與應(yīng)用」，對(duì)網(wǎng)路上的網(wǎng)頁進(jìn)行 SQL Injection 的測(cè)試，發(fā)覺您的登入網(wǎng)頁（網(wǎng)址是 SQL Injection 的入侵，只要帳號(hào)任意設(shè)定、密碼設(shè)定為「 39。 ? 刪除特殊字元的動(dòng)作務(wù)必 要在伺服器端進(jìn)行，因?yàn)橛脩舳说? JavaScript 表單驗(yàn)證的檢查是只能防君子，不能防小人，別人只要做一個(gè)有相同欄位的網(wǎng)頁，就一樣可以呼叫你的 ASP 程式碼來取用資料庫，進(jìn)而避開原網(wǎng)頁的表單驗(yàn)證功能。39。 是一定成立的） ? 在 SQL 語法的條件式中，會(huì)先執(zhí)行 and，再執(zhí)行 or。 66/69 JavaScript 程式設(shè)計(jì)與應(yīng)用：用於伺服器端的 ASP環(huán)境 範(fàn)例 187(2) ? 說明 ? 當(dāng)輸入帳號(hào)和密碼分別是「林政源」和「 gavins」時(shí)，可以從資料庫中查到一筆資料，代表帳號(hào)和密碼正確，所得到的 SQL 指令是 ? 當(dāng)帳號(hào)和密碼分別是「 xyz」和「 39。 65/69 JavaScript 程式設(shè)計(jì)與應(yīng)用：用於伺服器端的 ASP環(huán)境 範(fàn)例 187(1) ? 主題：以資料庫內(nèi)之資料進(jìn)行密碼認(rèn)證：基本篇 ? Webpage: remote host, local host ? 程式碼重點(diǎn) ? 說明 ? 看起來一切沒問題，但是如果你想「駭」（ Hack!） 這個(gè)網(wǎng)站，事實(shí)上只要輸入下列資料就可以了： ? 帳號(hào)： *****（亂打一通） ? 密碼： 39。 61/69 JavaScript 程式設(shè)計(jì)與應(yīng)用：用於伺服器端的 ASP環(huán)境 小秘訣 ? 使用 ASP 整合資料庫時(shí)，可參考下列小秘訣 ? 資料庫內(nèi)的資料表名稱及欄位名稱，最好是英文，且中間不可留白。 ? Webpage: remote host, local host ? 說明 ? 範(fàn)例中所做的事情 ? 建立一個(gè)資料表 friend。 CREATE TABLE 資料表名稱 (欄位名稱 1 欄位 1資料型態(tài) , 欄位名稱 2 欄位 2資料型態(tài) , ...) 55/69 JavaScript 程式設(shè)計(jì)與應(yīng)用：用於伺服器端的 ASP環(huán)境 INSERT ? 新增資料：使用的 SQL 指令是「 INSERT」 ? 基本結(jié)構(gòu) ? 說明 ? 如果欄位名稱沒有指定完全，則資料庫會(huì)自動(dòng)取用此欄位之預(yù)設(shè)值。高雄隊(duì) 39。 SELECT 欄位名稱 1, 欄位名稱 2, ... FROM 資料表名稱 1, 資料表名稱 2, ... [WHERE 條件式 ] [GROUP BY 欄位名稱 1, 欄位名稱 2, ...] [HAVING 條件式 ] [ORDER BY 欄位名稱 1, 欄位名稱 2, ...] 45/69 JavaScript 程式設(shè)計(jì)與應(yīng)用：用於伺服器端的 ASP環(huán)境 GROUP BY與 HAVING範(fàn)例 (1) ? 意義：每個(gè)球隊(duì)的球員人數(shù)及平均命中率 ? 說明： avg(Percentage) 可以計(jì)算命中率平均值，類似的 SQL 聚合函數(shù)有 Avg（平均值）、 Count（筆數(shù)）、 Max（最大值）、 Min（最小值）、 StDev（母群體樣本標(biāo)準(zhǔn)差）、 StDevp（母群體標(biāo)準(zhǔn)差）、 Sum （總和）、 Var（母群體樣本變異數(shù)）、 VarP（母群體變異數(shù)）等。 ? 查詢結(jié)果： ID NickName Name TeamID Percentage 18 Gao 高名揚(yáng) 1 12 roland 吳瑞千 1 13 sony 林頌華 1 3 ben 陳孜彬 1 … 40/69 JavaScript 程式設(shè)計(jì)與應(yīng)用：用於伺服器端的 ASP環(huán)境 檢示資料範(fàn)例 (11) ? SELECT count(*) FROM Team WHERE WinNo10 ? 意義：「勝場數(shù)大於 10」的球隊(duì)總數(shù) ? 說明： count()函數(shù)會(huì)計(jì)算資料筆數(shù)，資料庫會(huì)自動(dòng)產(chǎn)生暫時(shí)的欄位名稱 Expr1000。 SELECT 欄位名稱 1, 欄位名稱 2, ... FROM 資料表名稱 1, 資料表名稱 2, ... [WHERE 條件式 ] [ORDER BY 欄位名稱 1, 欄位名稱 2, ...] 30/69 JavaScript 程式設(shè)計(jì)與應(yīng)用：用於伺服器端的 ASP環(huán)境 檢示資料範(fàn)例 (1) ? 我們以資料庫 為例，這個(gè)資料庫包含兩個(gè)資料表： ? Player 包含球員的資料，其中 TeamID 是球員所隸屬的籃球隊(duì)代號(hào)（載明在 Team 資料表），Percentage 是投籃的命中率。 27/69 JavaScript 程式設(shè)計(jì)與應(yīng)用：用於伺服器端的 ASP環(huán)境 183：使用 SQL 來檢視資料 ? 本小節(jié)介紹查詢資料庫相關(guān)的 SQL語法。 ? 以範(fàn)例 181而言，若要由 DSN 來連結(jié)資料庫，而不直接指定資料庫，只要把下一列敘述： ? 改成下一列即可，其中 dsn4test 必頇已被設(shè)定為指向 的 ODBC 資料來源。 } 22/69 JavaScript 程式設(shè)計(jì)與應(yīng)用：用於伺服器端的 ASP環(huán)境 關(guān)閉 RecordSet 及資料庫連結(jié) ? 範(fàn)例程式碼如