以就業為導向，以能力為本位

項目案例引導，任務需求區動

生活實例鏈接知識點，案例增加趣味性

通用教學內容與特殊教學內容協調配置

前 言

ASP.NET是Microsoft公司推出的建立動態Web應用程序的開發平臺，它為開發人員提供了完整的可視化開發環境，具有使用方便、靈活、性能好、安全性高、完整性強、面向對象等特性，是目前主流的網絡編程工具之一。

本書以C#為編程工具，以SQL Server 2005為數據平臺，將一個經典案例——個人網站的開發作為貫穿項目，實現一個小型動態網站項目開發的全過程，在開發的過程中，兼顧Web安全開發技術，就常見的服務器端應用安全問題進行了闡述。

書中將實現一個網站功能所需要的知識分散到各個章節，讓讀者通過分析項目結構及功能進行具體的頁面實施，讓讀者在“做中學，學中做”，從而能夠逐步實現一個既完整又注重安全性的個人網站。

本書閱讀指南

本書分為9章，由淺入深，每一章完成個人網站開發過程中相對獨立的模塊。其中前8章添加了“技能基礎”C#基礎模塊，是為沒有基礎的讀者準備的，教學時可以先講解第1章到第8章的“技能基礎”模塊部分。

第1章首先介紹如何部署開發環境、安裝和配置IIS，然后介紹Visual Studio 2005的語言開發環境；分析本項目網站的總體結構，說明各個頁面的功能，以便讀者對本項目的功能有一個系統了解。

第2章介紹如何根據項目網站的需求分析設計相關數據庫，以便存儲網站項目中的相關相冊資料；介紹基于圖片的存放目錄結構，書寫自定義HTTP處理程序，實現圖片的顯示功能，并介紹如何進行反射性XSS防御。

第3章介紹如何使用母版統一及簡化頁面制作，并設計頁面導航功能，具體包括站點地圖的創建、Tree控件及SiteMapPath控件等的使用。

第4章是本書的重點，實現個人網站中的重要功能，即相冊及照片的顯示。通過實現這一功能，介紹了ADO.NET數據操作技術、DataList控件及FormView控件的基本使用，并專門就目前流行的數據庫注入式攻擊進行分析和舉例。

第5章是本書的關鍵內容，實現了相冊管理的基本功能，對如何編輯相冊及照片，實現對相冊和照片的顯示、增加、修改及刪除進行了詳細說明，在具體實現的過程中使用了DataList控件、FormView控件、GridView控件，最后針對前一章所提及的注入式攻擊提出防御方案。

第6章介紹本項目網站的主題設置，包括主題文件夾、主題文件的創建，以及如何使用主題；對相關主題下的皮膚創建進行說明，包括新建、設置及使用皮膚。

第7章介紹在網站項目中如何實現成員管理，實現網站中必需的會員注冊、登錄、管理等功能，并針對用戶類型的不同實現基于用戶角色的管理。

第8章介紹如何進行網站的發布及跨站防御。

第9章系統說明一個網站的安全開發流程，包括需求分析、設計、開發及測試各階段需要做的每項工作。

本書特色與優點

 結構清晰，知識完整，內容具體，系統性強：依據高校教學培養方案組織內容，同時覆蓋開發環境的大部分知識點，并將實際經驗融入到基本理論之中。

 入門快速，易教易學：突出“上手快，易教學”的特點，以項目任務方式驅動，以教與學的實際需要取材謀篇。

 學以致用，注重能力：以“基礎理論－實用技術－任務實施”為主線進行編寫，便于讀者掌握重點及提高實際操作能力。

 實用性強：本書所制作的個人網站步驟明確、講解細致，完全按照企業開發項目的過程指導學生，突出可操作性和實用性。

讀者定位

本書的讀者對象必須具備基本的網頁設計和程序設計知識，了解SQL Server數據庫的基本操作。

本書主要面向高等職業技術院校，既可作為大中專院校動態網站開發課程的教材，也可供廣大網站設計受好者學習參考。

本書由重慶電子工程職業學院的武春嶺任主編，胡凱、熊偉、陳杏環任副主編。其中，第1、3、5章由熊偉編寫，第2、4章由武春嶺編寫，第6、9章由胡凱編寫，第7、8章由陳杏環編寫。教材在編寫過程中，得到了廖雨蕭同學的實驗輔助和驗證，同時重慶電子工程職業學院的孫衛平書記和唐玉林副校長給予了大力支持，重慶云盟科技有限公司的王全喜、呂勇提供了技術支持，在此一并表示感謝。

由于編者水平有限，書中難免有不當之處，懇請廣大讀者批評指正。

編 者

2014年12月

前言

第1章 配置ASP.NET網頁運行和開發環境 1
任務目標 1
技能目標 1
任務導航 1
技能基礎 2
1.1 Visual C#簡介 2
1.2 Visual C#數據類型 3
1.3 數據類型轉換 5
1.4 C#的字符集和詞匯集 6
任務實施 7
1.5 任務一：認識ASP.NET 7
1.5.1 ASP.NET開發環境搭建 7
1.5.2 IIS安裝及安全配置 12
1.5.3 Visual Studio.NET開發環境介紹 15
1.6 任務二：數據庫安裝與設計 19
1.6.1 SQL Server Management Studio
Express的安裝 19
1.6.2 啟動SQL Server Management Studio
Express 22
1.7 任務三：網站項目規劃設計 23
1.7.1 網站結構分析 23
1.7.2 網站功能分析 24
綜合練習 32
第2章 建立Web頁面及Http處理程序 33
任務目標 33
技能目標 33
任務導航 33
技能基礎 34
2.1 C#程序代碼的基本書寫規則 34
2.2 常量與變量 35
任務實施 36
2.3 任務一：建立數據庫 36
2.3.1 新建數據庫 36
2.3.2 分析數據庫 39
2.4 任務二：建立Web頁面查詢照片名 41
2.4.1 新建Web頁面 41
2.4.2 編寫Web頁面的代碼 44
2.5 任務三：建立Http處理程序 46
2.5.1 認識Http處理程序 46
2.5.2 建立Http處理程序 47
2.5.3 運行Http處理程序 50
2.6 任務四：頁面間傳值的安全防范 52
2.6.1 頁面間傳值的安全問題 52
2.6.2 本項目頁面間傳值的安全解決方法 54
綜合練習 56
第3章 創建母版頁及頁面導航 57
任務目標 57
技能目標 57
任務導航 57
技能基礎 58
3.1 條件語句 58
3.2 循環語句 61
3.3 跳轉結構 63
任務實施 64
3.4 任務一：實現母版頁 64
3.4.1 母版頁的優點 64
3.4.2 設計母版頁 66
3.4.3 在項目中使用母版頁 69
3.5 任務二：實現頁面導航 81
3.5.1 創建站點地圖文件 82
3.5.2 使用TreeView控件實現導航 84
3.5.3 使用SiteMapPath控件顯示導航路徑 85
3.5.4 使用Menu控件實現導航菜單 86
3.5.5 在母版頁中實現站點導航 88
3.5.6 在項目中實現頁面導航 91
3.6 任務三：Web.config的安全防御 94
綜合練習 98
第4章 顯示相冊 99
任務目標 99
技能目標 99
任務導航 99
技能基礎 100
4.1 一維數組 100
4.2 多維數組 102
任務實施 102
4.3 任務一：使用ADO.NET操作數據庫 102
4.3.1 ADO.NET及命名空間 102
4.3.2 使用Connection對象連接數據庫 104
4.3.3 使用Command對象操作數據庫 105
4.4 任務二：數據控件的使用 106
4.4.1 使用SqlDataSource連接相冊
數據庫 106
4.4.2 使用DataList顯示相冊目錄 115
4.4.3 使用DataList顯示所有照片 117
4.4.4 使用FormView顯示某張照片 123
4.5 任務三：對數據庫進行SQL注入攻擊 125
4.5.1 SQL注入的含義 125
4.5.2 何謂“盲注” 126
4.5.3 實施SQL注入攻擊 126
綜合練習 138
第5章 管理相冊 139
任務目標 139
技能目標 139
任務導航 139
技能基礎 140
5.1 定義類 140
5.2 定義和使用字段 141
任務實施 142
5.3 任務一：管理相冊 142
5.3.1 使用SqlDataSource連接相冊
數據庫 143
5.3.2 使用FormView新建相冊 148
5.3.3 使用GridView顯示并編輯相冊
目錄 150
5.4 任務二：管理照片 155
5.4.1 使用FormView新建相片 156
5.4.2 使用DataList批量上傳照片 159
5.4.3 使用GridView實現照片的顯示、
更改和刪除 163
5.5 任務三：數據庫攻擊技巧及防御方法 166
5.5.1 數據庫攻擊技巧 166
5.5.2 正確地防御SQL注入 167
綜合練習 168
第6章 設置主題和皮膚 169
任務目標 169
技能目標 169
任務導航 169
技能基礎 170
6.1 屬性的定義和訪問 170
6.2 方法的定義和調用 171
任務實施 174
6.3 任務一：新建主題和皮膚 174
6.3.1 新建主題 174
6.3.2 創建主題文件 175
6.3.3 應用主題 176
6.4 任務二：在項目中使用主題 178
6.4.1 創建主題 178
6.4.2 使用主題 179
6.5 任務三：在項目中實現皮膚設置 180
6.5.1 創建皮膚 180
6.5.2 使用皮膚 182
6.6 任務四：HTML跨站腳本安全分析 188
6.6.1 跨站腳本介紹 188
6.6.2 造成跨站攻擊的流行因素分析 188
6.6.3 用戶安全輸入 189
6.6.4 跨站攻擊的危害分析 190
綜合練習 194
第7章 成員與角色管理 195
任務目標 195
技能目標 195
任務導航 195
技能基礎 196
7.1 文件管理 196
7.2 目錄和路徑管理 198
任務實施 202
7.3 任務一：成員與角色管理 202
7.3.1 新建成員管理頁面 202
7.3.2 配置成員與角色管理 203
7.3.3 實現用戶登錄 207
7.3.4 注冊新用戶 211
7.3.5 在項目中實現成員管理 215
7.3.6 在項目中實現角色管理 224
7.4 任務二：成員與角色的安全防御 228
7.4.1 成員與角色的安全概念 228
7.4.2 密碼安全防御 229
綜合練習 231
第8章 網站發布 232
任務目標 232
技能目標 232
任務導航 232
技能基礎 232
8.1 文件的讀寫 232
任務實施 236
8.2 任務一：網站發布 236
8.2.1 注冊用戶 236
8.2.2 創建網站 238
8.2.3 上傳網站文件 239
8.2.4 附加數據庫 245
8.2.5 在互聯網上運行網站 248
8.3 任務二：XSS攻擊與防御 249
8.3.1 XSS攻擊 250
8.3.2 XSS防御 253
綜合練習 255
第9章 安全開發流程（SDL） 256
任務目標 256
技能目標 256
任務導航 256
任務實施 256
9.1 SDL簡介 256
9.1.1 微軟SDL過程階段 257
9.1.2 敏捷SDL 260
9.2 SDL實戰經驗 260
9.2.1 需求分析與設計階段 262
9.2.2 開發階段 263
9.2.3 測試階段 264
綜合練習 265

1. 信息安全技術基礎（第二版） [主編 張浩軍 陳莉 王峰]
2. Web用戶界面設計與制作 [主編 趙娟]
3. 信息安全工程師5天修煉（第二版） [施游 朱小平 編著]
4. 物聯網導論（第三版） [主 編 張翼英]
5. ASP.NET（C#）網站開發（第二版） [主編 張志明 王輝]
6. 注冊消防工程師考前沖刺密卷（三合一） [靳紅雨 王躍琴 楊殿波 張福東]
7. 物聯網編程與應用（C#） [主編　王浩　王偉旗]
8. 物聯網實訓案例設計 [主編 張翼英 梁琨]
9. 物聯網通信技術 [主編 張翼英 史艷翠]
10. Web開發實戰 [主編　肖睿　陳永]
11. Bootstrap與jQuery UI框架設計 [主編 肖睿 吳振宇]
12. 信息安全工程師5天修煉 [施游 朱小平 編著]
13. 網頁設計與制作 [主編 楊毅]
14. 網頁制作實戰 [主編 肖睿 羅保山]
15. 網頁設計與制作 [主編 陳建國 項煒]
16. 16課學會網頁程序設計—— HTML5+CSS3+JavaScript+jQuery+ [施威銘研究室 著]
17. 網絡安全技術項目化教程 [主編 段新華 宋風忠]
18. 物聯網應用綜合項目開發 [主編 陳廣]
19. HTML5+CSS3前端技術——UI設計師與開發人員合作秘籍 [北京課工場教育科技有限公司Q]
20. 物聯網典型應用案例 [主編 張翼英]
21. 大型數據庫應用與安全 [主編 劉濤 胡凱]
22. Web程序設計實踐教程 [主編 侯萍 郭俊榮]
23. 網頁設計與制作 [孫娜 蒲秋梅 南洋 編著]
24. 玩轉Axure RP——Axure RP 7.0高保真網頁、APP原型設計 [謝星星 編著]
25. ASP.NET Web程序設計 [吳琴霞 栗青生 康晶 編著]
26. 網絡廣告實務（第二版） [主編 馮暉]
27. CSS+DIV頁面布局技術 [主編 朱翠苗]
28. 信息安全基礎 [主編 曹敏 劉艷]
29. 物聯網技術應用開發 [主編 王浩 浦靈敏]
30. 網頁設計實訓教程 [主編 張春英 李英文 鐘大偉]