【正文】 69 JavaScript 程式設(shè)計與應用：用於伺服器端的 ASP環(huán)境 檢示資料範例 (8) ? SELECT Name, WinNo FROM Team WHERE WinNo10 ORDER BY WinNo DESC ? 意義：「勝場數(shù)大於 10」的球隊名稱及其勝場數(shù)，並根據(jù)勝場數(shù)由大到小排列 ? 說明：若不加入 DESC， 則會進行由小到大的排序。） 。臺北隊 39。 54/69 JavaScript 程式設(shè)計與應用：用於伺服器端的 ASP環(huán)境 CREATE TABLE ? 新增資料表：使用的 SQL 指令是 CREATE TABLE ? 基本結(jié)構(gòu) ? 說明 ? 如果新增的資料非一列可以表示的，就需要新增資料表。 DELETE FROM 資料表名稱 WHERE 條件式 58/69 JavaScript 程式設(shè)計與應用：用於伺服器端的 ASP環(huán)境 DROP TABLE ? 刪除資料表：使用的 SQL 指令是「 DROP TABLE」 ? 基本結(jié)構(gòu) ? 說明 ? 在論壇管理系統(tǒng)中，要刪除某個討論區(qū)會用到。 60/69 JavaScript 程式設(shè)計與應用：用於伺服器端的 ASP環(huán)境 範例 186 ? 主題：可隨時對資料表進行修改刪除的範例 ? Webpage: remote host, local host ? 說明 ? 這個範例，可以讓你在網(wǎng)頁上嘗詴各種查詢動作，例如新增、修改、刪除等。 64/69 JavaScript 程式設(shè)計與應用：用於伺服器端的 ASP環(huán)境 SQL Injection簡介 ? 「資料隱碼」（ SQL Injection）臭蟲，簡單地說，就是將「帳號」和「密碼」欄位填入具有單引號的特殊字串，造成伺服器端在接合這些欄位資料時，會意外地產(chǎn)生合格的 SQL 指令，造成密碼認證的成功。 and passwd=39。=39。xyz39。 ? 這些字元包括單引號（ ‘）、雙引號（ “）、問號（ ?）、星號 （ *）、底線（ _）、百分比（ %）、ampersand（ amp。/g, )。 （請寫出你的全名，以示負責，並將 副本給我，以便登記發(fā)問一次） JavaScript 程式設(shè)計與應用：用於伺服器端的 ASP環(huán)境 參考資料 ? 可以形成 SQL Injection 的惡意字串還不少，但大部分是針對微軟的 SQL Server 資料庫來進行破壞。 ? 請通知該網(wǎng)站管理員，並表示自己無惡意： 70/69 我們研習張智星老師的「 JavaScript程式設(shè)計與應用」，對網(wǎng)路上的網(wǎng)頁進行 SQL Injection 的測試，發(fā)覺您的登入網(wǎng)頁（網(wǎng)址是 SQL Injection 的入侵，只要帳號任意設(shè)定、密碼設(shè)定為「 39。 ? 刪除特殊字元的動作務必 要在伺服器端進行，因為用戶端的 JavaScript 表單驗證的檢查是只能防君子，不能防小人，別人只要做一個有相同欄位的網(wǎng)頁，就一樣可以呼叫你的 ASP 程式碼來取用資料庫，進而避開原網(wǎng)頁的表單驗證功能。39。 是一定成立的） ? 在 SQL 語法的條件式中，會先執(zhí)行 and，再執(zhí)行 or。 66/69 JavaScript 程式設(shè)計與應用：用於伺服器端的 ASP環(huán)境 範例 187(2) ? 說明 ? 當輸入帳號和密碼分別是「林政源」和「 gavins」時，可以從資料庫中查到一筆資料，代表帳號和密碼正確，所得到的 SQL 指令是 ? 當帳號和密碼分別是「 xyz」和「 39。 65/69 JavaScript 程式設(shè)計與應用：用於伺服器端的 ASP環(huán)境 範例 187(1) ? 主題：以資料庫內(nèi)之資料進行密碼認證：基本篇 ? Webpage: remote host, local host ? 程式碼重點 ? 說明 ? 看起來一切沒問題，但是如果你想「駭」（ Hack!） 這個網(wǎng)站，事實上只要輸入下列資料就可以了： ? 帳號： *****（亂打一通） ? 密碼： 39。 61/69 JavaScript 程式設(shè)計與應用：用於伺服器端的 ASP環(huán)境 小秘訣 ? 使用 ASP 整合資料庫時，可參考下列小秘訣 ? 資料庫內(nèi)的資料表名稱及欄位名稱，最好是英文，且中間不可留白。 ? Webpage: remote host, local host ? 說明 ? 範例中所做的事情 ? 建立一個資料表 friend。 CREATE TABLE 資料表名稱 (欄位名稱 1 欄位 1資料型態(tài) , 欄位名稱 2 欄位 2資料型態(tài) , ...) 55/69 JavaScript 程式設(shè)計與應用：用於伺服器端的 ASP環(huán)境 INSERT ? 新增資料：使用的 SQL 指令是「 INSERT」 ? 基本結(jié)構(gòu) ? 說明 ? 如果欄位名稱沒有指定完全，則資料庫會自動取用此欄位之預設(shè)值。高雄隊 39。 SELECT 欄位名稱 1, 欄位名稱 2, ... FROM 資料表名稱 1, 資料表名稱 2, ... [WHERE 條件式 ] [GROUP BY 欄位名稱 1, 欄位名稱 2, ...] [HAVING 條件式 ] [ORDER BY 欄位名稱 1, 欄位名稱 2, ...] 45/69 JavaScript 程式設(shè)計與應用：用於伺服器端的 ASP環(huán)境 GROUP BY與 HAVING範例 (1) ? 意義：每個球隊的球員人數(shù)及平均命中率 ? 說明： avg(Percentage) 可以計算命中率平均值，類似的 SQL 聚合函數(shù)有 Avg（平均值）、 Count（筆數(shù)）、 Max（最大值）、 Min（最小值）、 StDev（母群體樣本標準差）、 StDevp（母群體標準差）、 Sum （總和）、 Var（母群體樣本變異數(shù)）、 VarP（母群體變異數(shù)）等。 ? 查詢結(jié)果： ID NickName Name TeamID Percentage 18 Gao 高名揚 1 12 roland 吳瑞千 1 13 sony 林頌華 1 3 ben 陳孜彬 1 … 40/69 JavaScript 程式設(shè)計與應用：用於伺服器端的 ASP環(huán)境 檢示資料範例 (11) ? SELECT count(*) FROM Team WHERE WinNo10 ? 意義：「勝場數(shù)大於 10」的球隊總數(shù) ? 說明： count()函數(shù)會計算資料筆數(shù)，資料庫會自動產(chǎn)生暫時的欄位名稱 Expr1000。 SELECT 欄位名稱 1, 欄位名稱 2, ... FROM 資料表名稱 1, 資料表名稱 2, ... [WHERE 條件式 ] [ORDER BY 欄位名稱 1, 欄位名稱 2, ...] 30/69 JavaScript 程式設(shè)計與應用：用於伺服器端的 ASP環(huán)境 檢示資料範例 (1) ? 我們以資料庫 為例，這個資料庫包含兩個資料表： ? Player 包含球員的資料，其中 TeamID 是球員所隸屬的籃球隊代號（載明在 Team 資料表），Percentage 是投籃的命中率。 27/69 JavaScript 程式設(shè)計與應用：用於伺服器端的 ASP環(huán)境 183：使用 SQL 來檢視資料 ? 本小節(jié)介紹查詢資料庫相關(guān)的 SQL語法。 ? 以範例 181而言，若要由 DSN 來連結(jié)資料庫，而不直接指定資料庫，只要把下一列敘述： ? 改成下一列即可，其中 dsn4test 必頇已被設(shè)定為指向 的 ODBC 資料來源。 } 22/69 JavaScript 程式設(shè)計與應用：用於伺服器端的 ASP環(huán)境 關(guān)閉 RecordSet 及資料庫連結(jié) ? 範例程式碼如