Web開(kāi)發(fā)與安全防范

以就業(yè)為導(dǎo)向，以能力為本位

項(xiàng)目案例引導(dǎo)，任務(wù)需求區(qū)動(dòng)

生活實(shí)例鏈接知識(shí)點(diǎn)，案例增加趣味性

通用教學(xué)內(nèi)容與特殊教學(xué)內(nèi)容協(xié)調(diào)配置

前 言

ASP.NET是Microsoft公司推出的建立動(dòng)態(tài)Web應(yīng)用程序的開(kāi)發(fā)平臺(tái)，它為開(kāi)發(fā)人員提供了完整的可視化開(kāi)發(fā)環(huán)境，具有使用方便、靈活、性能好、安全性高、完整性強(qiáng)、面向?qū)ο蟮忍匦裕�是目前主流的網(wǎng)絡(luò)編程工具之一。

本書(shū)以C#為編程工具，以SQL Server 2005為數(shù)據(jù)平臺(tái)，將一個(gè)經(jīng)典案例——個(gè)人網(wǎng)站的開(kāi)發(fā)作為貫穿項(xiàng)目，實(shí)現(xiàn)一個(gè)小型動(dòng)態(tài)網(wǎng)站項(xiàng)目開(kāi)發(fā)的全過(guò)程，在開(kāi)發(fā)的過(guò)程中，兼顧Web安全開(kāi)發(fā)技術(shù)，就常見(jiàn)的服務(wù)器端應(yīng)用安全問(wèn)題進(jìn)行了闡述。

書(shū)中將實(shí)現(xiàn)一個(gè)網(wǎng)站功能所需要的知識(shí)分散到各個(gè)章節(jié)，讓讀者通過(guò)分析項(xiàng)目結(jié)構(gòu)及功能進(jìn)行具體的頁(yè)面實(shí)施，讓讀者在“做中學(xué)，學(xué)中做”，從而能夠逐步實(shí)現(xiàn)一個(gè)既完整又注重安全性的個(gè)人網(wǎng)站。

本書(shū)閱讀指南

本書(shū)分為9章，由淺入深，每一章完成個(gè)人網(wǎng)站開(kāi)發(fā)過(guò)程中相對(duì)獨(dú)立的模塊。其中前8章添加了“技能基礎(chǔ)”C#基礎(chǔ)模塊，是為沒(méi)有基礎(chǔ)的讀者準(zhǔn)備的，教學(xué)時(shí)可以先講解第1章到第8章的“技能基礎(chǔ)”模塊部分。

第1章首先介紹如何部署開(kāi)發(fā)環(huán)境、安裝和配置IIS，然后介紹Visual Studio 2005的語(yǔ)言開(kāi)發(fā)環(huán)境；分析本項(xiàng)目網(wǎng)站的總體結(jié)構(gòu)，說(shuō)明各個(gè)頁(yè)面的功能，以便讀者對(duì)本項(xiàng)目的功能有一個(gè)系統(tǒng)了解。

第2章介紹如何根據(jù)項(xiàng)目網(wǎng)站的需求分析設(shè)計(jì)相關(guān)數(shù)據(jù)庫(kù)，以便存儲(chǔ)網(wǎng)站項(xiàng)目中的相關(guān)相冊(cè)資料；介紹基于圖片的存放目錄結(jié)構(gòu)，書(shū)寫(xiě)自定義HTTP處理程序，實(shí)現(xiàn)圖片的顯示功能，并介紹如何進(jìn)行反射性XSS防御。

第3章介紹如何使用母版統(tǒng)一及簡(jiǎn)化頁(yè)面制作，并設(shè)計(jì)頁(yè)面導(dǎo)航功能，具體包括站點(diǎn)地圖的創(chuàng)建、Tree控件及SiteMapPath控件等的使用。

第4章是本書(shū)的重點(diǎn)，實(shí)現(xiàn)個(gè)人網(wǎng)站中的重要功能，即相冊(cè)及照片的顯示。通過(guò)實(shí)現(xiàn)這一功能，介紹了ADO.NET數(shù)據(jù)操作技術(shù)、DataList控件及FormView控件的基本使用，并專門(mén)就目前流行的數(shù)據(jù)庫(kù)注入式攻擊進(jìn)行分析和舉例。

第5章是本書(shū)的關(guān)鍵內(nèi)容，實(shí)現(xiàn)了相冊(cè)管理的基本功能，對(duì)如何編輯相冊(cè)及照片，實(shí)現(xiàn)對(duì)相冊(cè)和照片的顯示、增加、修改及刪除進(jìn)行了詳細(xì)說(shuō)明，在具體實(shí)現(xiàn)的過(guò)程中使用了DataList控件、FormView控件、GridView控件，最后針對(duì)前一章所提及的注入式攻擊提出防御方案。

第6章介紹本項(xiàng)目網(wǎng)站的主題設(shè)置，包括主題文件夾、主題文件的創(chuàng)建，以及如何使用主題；對(duì)相關(guān)主題下的皮膚創(chuàng)建進(jìn)行說(shuō)明，包括新建、設(shè)置及使用皮膚。

第7章介紹在網(wǎng)站項(xiàng)目中如何實(shí)現(xiàn)成員管理，實(shí)現(xiàn)網(wǎng)站中必需的會(huì)員注冊(cè)、登錄、管理等功能，并針對(duì)用戶類型的不同實(shí)現(xiàn)基于用戶角色的管理。

第8章介紹如何進(jìn)行網(wǎng)站的發(fā)布及跨站防御。

第9章系統(tǒng)說(shuō)明一個(gè)網(wǎng)站的安全開(kāi)發(fā)流程，包括需求分析、設(shè)計(jì)、開(kāi)發(fā)及測(cè)試各階段需要做的每項(xiàng)工作。

本書(shū)特色與優(yōu)點(diǎn)

 結(jié)構(gòu)清晰，知識(shí)完整，內(nèi)容具體，系統(tǒng)性強(qiáng)：依據(jù)高校教學(xué)培養(yǎng)方案組織內(nèi)容，同時(shí)覆蓋開(kāi)發(fā)環(huán)境的大部分知識(shí)點(diǎn)，并將實(shí)際經(jīng)驗(yàn)融入到基本理論之中。

 入門(mén)快速，易教易學(xué)：突出“上手快，易教學(xué)”的特點(diǎn)，以項(xiàng)目任務(wù)方式驅(qū)動(dòng)，以教與學(xué)的實(shí)際需要取材謀篇。

 學(xué)以致用，注重能力：以“基礎(chǔ)理論－實(shí)用技術(shù)－任務(wù)實(shí)施”為主線進(jìn)行編寫(xiě)，便于讀者掌握重點(diǎn)及提高實(shí)際操作能力。

 實(shí)用性強(qiáng)：本書(shū)所制作的個(gè)人網(wǎng)站步驟明確、講解細(xì)致，完全按照企業(yè)開(kāi)發(fā)項(xiàng)目的過(guò)程指導(dǎo)學(xué)生，突出可操作性和實(shí)用性。

讀者定位

本書(shū)的讀者對(duì)象必須具備基本的網(wǎng)頁(yè)設(shè)計(jì)和程序設(shè)計(jì)知識(shí)，了解SQL Server數(shù)據(jù)庫(kù)的基本操作。

本書(shū)主要面向高等職業(yè)技術(shù)院校，既可作為大中專院校動(dòng)態(tài)網(wǎng)站開(kāi)發(fā)課程的教材，也可供廣大網(wǎng)站設(shè)計(jì)受好者學(xué)習(xí)參考。

本書(shū)由重慶電子工程職業(yè)學(xué)院的武春嶺任主編，胡凱、熊偉、陳杏環(huán)任副主編。其中，第1、3、5章由熊偉編寫(xiě)，第2、4章由武春嶺編寫(xiě)，第6、9章由胡凱編寫(xiě)，第7、8章由陳杏環(huán)編寫(xiě)。教材在編寫(xiě)過(guò)程中，得到了廖雨蕭同學(xué)的實(shí)驗(yàn)輔助和驗(yàn)證，同時(shí)重慶電子工程職業(yè)學(xué)院的孫衛(wèi)平書(shū)記和唐玉林副校長(zhǎng)給予了大力支持，重慶云盟科技有限公司的王全喜、呂勇提供了技術(shù)支持，在此一并表示感謝。

由于編者水平有限，書(shū)中難免有不當(dāng)之處，懇請(qǐng)廣大讀者批評(píng)指正。

編 者

2014年12月

前言

第1章 配置ASP.NET網(wǎng)頁(yè)運(yùn)行和開(kāi)發(fā)環(huán)境 1
任務(wù)目標(biāo) 1
技能目標(biāo) 1
任務(wù)導(dǎo)航 1
技能基礎(chǔ) 2
1.1 Visual C#簡(jiǎn)介 2
1.2 Visual C#數(shù)據(jù)類型 3
1.3 數(shù)據(jù)類型轉(zhuǎn)換 5
1.4 C#的字符集和詞匯集 6
任務(wù)實(shí)施 7
1.5 任務(wù)一：認(rèn)識(shí)ASP.NET 7
1.5.1 ASP.NET開(kāi)發(fā)環(huán)境搭建 7
1.5.2 IIS安裝及安全配置 12
1.5.3 Visual Studio.NET開(kāi)發(fā)環(huán)境介紹 15
1.6 任務(wù)二：數(shù)據(jù)庫(kù)安裝與設(shè)計(jì) 19
1.6.1 SQL Server Management Studio
Express的安裝 19
1.6.2 啟動(dòng)SQL Server Management Studio
Express 22
1.7 任務(wù)三：網(wǎng)站項(xiàng)目規(guī)劃設(shè)計(jì) 23
1.7.1 網(wǎng)站結(jié)構(gòu)分析 23
1.7.2 網(wǎng)站功能分析 24
綜合練習(xí) 32
第2章 建立Web頁(yè)面及Http處理程序 33
任務(wù)目標(biāo) 33
技能目標(biāo) 33
任務(wù)導(dǎo)航 33
技能基礎(chǔ) 34
2.1 C#程序代碼的基本書(shū)寫(xiě)規(guī)則 34
2.2 常量與變量 35
任務(wù)實(shí)施 36
2.3 任務(wù)一：建立數(shù)據(jù)庫(kù) 36
2.3.1 新建數(shù)據(jù)庫(kù) 36
2.3.2 分析數(shù)據(jù)庫(kù) 39
2.4 任務(wù)二：建立Web頁(yè)面查詢照片名 41
2.4.1 新建Web頁(yè)面 41
2.4.2 編寫(xiě)Web頁(yè)面的代碼 44
2.5 任務(wù)三：建立Http處理程序 46
2.5.1 認(rèn)識(shí)Http處理程序 46
2.5.2 建立Http處理程序 47
2.5.3 運(yùn)行Http處理程序 50
2.6 任務(wù)四：頁(yè)面間傳值的安全防范 52
2.6.1 頁(yè)面間傳值的安全問(wèn)題 52
2.6.2 本項(xiàng)目頁(yè)面間傳值的安全解決方法 54
綜合練習(xí) 56
第3章 創(chuàng)建母版頁(yè)及頁(yè)面導(dǎo)航 57
任務(wù)目標(biāo) 57
技能目標(biāo) 57
任務(wù)導(dǎo)航 57
技能基礎(chǔ) 58
3.1 條件語(yǔ)句 58
3.2 循環(huán)語(yǔ)句 61
3.3 跳轉(zhuǎn)結(jié)構(gòu) 63
任務(wù)實(shí)施 64
3.4 任務(wù)一：實(shí)現(xiàn)母版頁(yè) 64
3.4.1 母版頁(yè)的優(yōu)點(diǎn) 64
3.4.2 設(shè)計(jì)母版頁(yè) 66
3.4.3 在項(xiàng)目中使用母版頁(yè) 69
3.5 任務(wù)二：實(shí)現(xiàn)頁(yè)面導(dǎo)航 81
3.5.1 創(chuàng)建站點(diǎn)地圖文件 82
3.5.2 使用TreeView控件實(shí)現(xiàn)導(dǎo)航 84
3.5.3 使用SiteMapPath控件顯示導(dǎo)航路徑 85
3.5.4 使用Menu控件實(shí)現(xiàn)導(dǎo)航菜單 86
3.5.5 在母版頁(yè)中實(shí)現(xiàn)站點(diǎn)導(dǎo)航 88
3.5.6 在項(xiàng)目中實(shí)現(xiàn)頁(yè)面導(dǎo)航 91
3.6 任務(wù)三：Web.config的安全防御 94
綜合練習(xí) 98
第4章 顯示相冊(cè) 99
任務(wù)目標(biāo) 99
技能目標(biāo) 99
任務(wù)導(dǎo)航 99
技能基礎(chǔ) 100
4.1 一維數(shù)組 100
4.2 多維數(shù)組 102
任務(wù)實(shí)施 102
4.3 任務(wù)一：使用ADO.NET操作數(shù)據(jù)庫(kù) 102
4.3.1 ADO.NET及命名空間 102
4.3.2 使用Connection對(duì)象連接數(shù)據(jù)庫(kù) 104
4.3.3 使用Command對(duì)象操作數(shù)據(jù)庫(kù) 105
4.4 任務(wù)二：數(shù)據(jù)控件的使用 106
4.4.1 使用SqlDataSource連接相冊(cè)
數(shù)據(jù)庫(kù) 106
4.4.2 使用DataList顯示相冊(cè)目錄 115
4.4.3 使用DataList顯示所有照片 117
4.4.4 使用FormView顯示某張照片 123
4.5 任務(wù)三：對(duì)數(shù)據(jù)庫(kù)進(jìn)行SQL注入攻擊 125
4.5.1 SQL注入的含義 125
4.5.2 何謂“盲注” 126
4.5.3 實(shí)施SQL注入攻擊 126
綜合練習(xí) 138
第5章 管理相冊(cè) 139
任務(wù)目標(biāo) 139
技能目標(biāo) 139
任務(wù)導(dǎo)航 139
技能基礎(chǔ) 140
5.1 定義類 140
5.2 定義和使用字段 141
任務(wù)實(shí)施 142
5.3 任務(wù)一：管理相冊(cè) 142
5.3.1 使用SqlDataSource連接相冊(cè)
數(shù)據(jù)庫(kù) 143
5.3.2 使用FormView新建相冊(cè) 148
5.3.3 使用GridView顯示并編輯相冊(cè)
目錄 150
5.4 任務(wù)二：管理照片 155
5.4.1 使用FormView新建相片 156
5.4.2 使用DataList批量上傳照片 159
5.4.3 使用GridView實(shí)現(xiàn)照片的顯示、
更改和刪除 163
5.5 任務(wù)三：數(shù)據(jù)庫(kù)攻擊技巧及防御方法 166
5.5.1 數(shù)據(jù)庫(kù)攻擊技巧 166
5.5.2 正確地防御SQL注入 167
綜合練習(xí) 168
第6章 設(shè)置主題和皮膚 169
任務(wù)目標(biāo) 169
技能目標(biāo) 169
任務(wù)導(dǎo)航 169
技能基礎(chǔ) 170
6.1 屬性的定義和訪問(wèn) 170
6.2 方法的定義和調(diào)用 171
任務(wù)實(shí)施 174
6.3 任務(wù)一：新建主題和皮膚 174
6.3.1 新建主題 174
6.3.2 創(chuàng)建主題文件 175
6.3.3 應(yīng)用主題 176
6.4 任務(wù)二：在項(xiàng)目中使用主題 178
6.4.1 創(chuàng)建主題 178
6.4.2 使用主題 179
6.5 任務(wù)三：在項(xiàng)目中實(shí)現(xiàn)皮膚設(shè)置 180
6.5.1 創(chuàng)建皮膚 180
6.5.2 使用皮膚 182
6.6 任務(wù)四：HTML跨站腳本安全分析 188
6.6.1 跨站腳本介紹 188
6.6.2 造成跨站攻擊的流行因素分析 188
6.6.3 用戶安全輸入 189
6.6.4 跨站攻擊的危害分析 190
綜合練習(xí) 194
第7章 成員與角色管理 195
任務(wù)目標(biāo) 195
技能目標(biāo) 195
任務(wù)導(dǎo)航 195
技能基礎(chǔ) 196
7.1 文件管理 196
7.2 目錄和路徑管理 198
任務(wù)實(shí)施 202
7.3 任務(wù)一：成員與角色管理 202
7.3.1 新建成員管理頁(yè)面 202
7.3.2 配置成員與角色管理 203
7.3.3 實(shí)現(xiàn)用戶登錄 207
7.3.4 注冊(cè)新用戶 211
7.3.5 在項(xiàng)目中實(shí)現(xiàn)成員管理 215
7.3.6 在項(xiàng)目中實(shí)現(xiàn)角色管理 224
7.4 任務(wù)二：成員與角色的安全防御 228
7.4.1 成員與角色的安全概念 228
7.4.2 密碼安全防御 229
綜合練習(xí) 231
第8章 網(wǎng)站發(fā)布 232
任務(wù)目標(biāo) 232
技能目標(biāo) 232
任務(wù)導(dǎo)航 232
技能基礎(chǔ) 232
8.1 文件的讀寫(xiě) 232
任務(wù)實(shí)施 236
8.2 任務(wù)一：網(wǎng)站發(fā)布 236
8.2.1 注冊(cè)用戶 236
8.2.2 創(chuàng)建網(wǎng)站 238
8.2.3 上傳網(wǎng)站文件 239
8.2.4 附加數(shù)據(jù)庫(kù) 245
8.2.5 在互聯(lián)網(wǎng)上運(yùn)行網(wǎng)站 248
8.3 任務(wù)二：XSS攻擊與防御 249
8.3.1 XSS攻擊 250
8.3.2 XSS防御 253
綜合練習(xí) 255
第9章 安全開(kāi)發(fā)流程（SDL） 256
任務(wù)目標(biāo) 256
技能目標(biāo) 256
任務(wù)導(dǎo)航 256
任務(wù)實(shí)施 256
9.1 SDL簡(jiǎn)介 256
9.1.1 微軟SDL過(guò)程階段 257
9.1.2 敏捷SDL 260
9.2 SDL實(shí)戰(zhàn)經(jīng)驗(yàn) 260
9.2.1 需求分析與設(shè)計(jì)階段 262
9.2.2 開(kāi)發(fā)階段 263
9.2.3 測(cè)試階段 264
綜合練習(xí) 265

1. 基于.NET Core框架的分布式系統(tǒng)架構(gòu)設(shè)計(jì) [湯佳 著]
2. 信息安全技術(shù)基礎(chǔ)（第二版） [主編 張浩軍 陳莉 王峰]
3. Web用戶界面設(shè)計(jì)與制作 [主編 趙娟]
4. 信息安全工程師5天修煉（第二版） [施游 朱小平 編著]
5. 物聯(lián)網(wǎng)導(dǎo)論（第三版） [主 編 張翼英]
6. ASP.NET（C#）網(wǎng)站開(kāi)發(fā)（第二版） [主編 張志明 王輝]
7. 注冊(cè)消防工程師考前沖刺密卷（三合一） [靳紅雨 王躍琴 楊殿波 張福東]
8. 物聯(lián)網(wǎng)編程與應(yīng)用（C#） [主編　王浩　王偉旗]
9. 物聯(lián)網(wǎng)實(shí)訓(xùn)案例設(shè)計(jì) [主編 張翼英 梁琨]
10. 物聯(lián)網(wǎng)通信技術(shù) [主編 張翼英 史艷翠]
11. Web開(kāi)發(fā)實(shí)戰(zhàn) [主編　肖睿　陳永]
12. Bootstrap與jQuery UI框架設(shè)計(jì) [主編 肖睿 吳振宇]
13. 信息安全工程師5天修煉 [施游 朱小平 編著]
14. 網(wǎng)頁(yè)設(shè)計(jì)與制作 [主編 楊毅]
15. 網(wǎng)頁(yè)制作實(shí)戰(zhàn) [主編 肖睿 羅保山]
16. 網(wǎng)頁(yè)設(shè)計(jì)與制作 [主編 陳建國(guó) 項(xiàng)煒]
17. 16課學(xué)會(huì)網(wǎng)頁(yè)程序設(shè)計(jì)—— HTML5+CSS3+JavaScript+jQuery+ [施威銘研究室 著]
18. 網(wǎng)絡(luò)安全技術(shù)項(xiàng)目化教程 [主編 段新華 宋風(fēng)忠]
19. 物聯(lián)網(wǎng)應(yīng)用綜合項(xiàng)目開(kāi)發(fā) [主編 陳廣]
20. HTML5+CSS3前端技術(shù)——UI設(shè)計(jì)師與開(kāi)發(fā)人員合作秘籍 [北京課工場(chǎng)教育科技有限公司Q]
21. 物聯(lián)網(wǎng)典型應(yīng)用案例 [主編 張翼英]
22. 大型數(shù)據(jù)庫(kù)應(yīng)用與安全 [主編 劉濤 胡凱]
23. Web程序設(shè)計(jì)實(shí)踐教程 [主編 侯萍 郭俊榮]
24. 網(wǎng)頁(yè)設(shè)計(jì)與制作 [孫娜 蒲秋梅 南洋 編著]
25. 玩轉(zhuǎn)Axure RP——Axure RP 7.0高保真網(wǎng)頁(yè)、APP原型設(shè)計(jì) [謝星星 編著]
26. ASP.NET Web程序設(shè)計(jì) [吳琴霞 栗青生 康晶 編著]
27. 網(wǎng)絡(luò)廣告實(shí)務(wù)（第二版） [主編 馮暉]
28. CSS+DIV頁(yè)面布局技術(shù) [主編 朱翠苗]
29. 信息安全基礎(chǔ) [主編 曹敏 劉艷]
30. 物聯(lián)網(wǎng)技術(shù)應(yīng)用開(kāi)發(fā) [主編 王浩 浦靈敏]