Archive

Archive for December, 2008

Web Controls Focus ว่าด้วยเรื่องของ การกำหนด Focus ให้กับ Web Controls

December 29, 2008 1 comment

ว่ากันไปแล้วผมเขียนโปรแกรมมานาน ผมหมายถึง Windows form นะครับเรื่องของการ Focus ไปยัง control ใด ๆ ก็ไม่ใช้เรื่องยาก เพราะว่าส่วนใหญ่แล้ว controls ต่างเหล่านั้นจะมี Method สำหรับการ Focus ไปที่ controls นั้น ๆได้ แต่การเขียนโปรแกรม บน Web แล้วต้องขอยืมความช่วยเหลืออันวิเศษ จาก scripts เช่น Java script นะครับ แต่สำหรับ ASP.NET 2.0 นั้นคือสิ่งที่เพิ่งมีให้ใช้งาน ผมหมายถึง Web Controls นะครับ

ดังนั้น Web controls จึงมี method ที่ชื่อว่า Focus ทุก controls ซึ่งเราจะใช้ได้ก็เฉพาะ controls ที่เป็นพวก Input controls ( controls ที่สามารถรับข้อมูลจากการพิมพ์จาก Keyboard ได้ ) เมื่อ Web page ถูก render ที่ browser ผู้ใช้จะเริ่มการทำงานที่ control ที่ถูก Focus ซึ่งเรามักจะออกแบบให้มี function การทำงานเป็นแบบนี้ ผมรู้ทุกคนตอบในใจว่า จริงของ –ึง ฮะ ฮะ ตัวอย่างให้เห็นภาพ ก็อย่างเช่น สมมติว่าเรามี form สำหรับให้ผู้ใช้แก้ไข ข้อมูลของ customer เราอาจจะกำหนดหนดให้มีการ เรียก focus method ที่ ข้อมูล address ของ customer ซึ่งอาจจะเป็น TextBox แรก ในหน้าจอนั้น นะครับ ด้วยวิธีการนี้ก็จะทำให้ cursor ปรากฏอยู่ที่ TextBox ทันที่ หรือ หาก TextBox นี้อยู่ด้านล่างของ form ซึ่งอาจจะเกินหน้าจอไป มันก็จะถูก scroll กลับมายังที่ตำแหน่งที่เหมาะสมโดยอัตโนมัตินะครับ หลังจากนั้นผู้ใช้ก็สามารถที่จะเลื่อน Focus ไปยัง control อื่น ๆ ตามลำดับโดยใช้ Tab key ( หรือพวกเราชอบ Modify ให้มันสามารถเลือนไปได้ด้วย Enter key also แม่นบ่ )

ครับ อย่างที่ได้กล่าวไป ถ้าเราคุ้นเคยกับการเขียน HTML ก็จะรู้ว่า ไม่มีวิธีการใดใด ที่จะทำให้เกิด การทำงานแบบนั้นได้ หากไม่มีตัวช่วยอย่าง JavaScript ซึ่งนี่ก็คือความลับของ ASP.NET หล่ะครับ หรือไม่ลับก็ไม่รู่สิ ผมเพิ่งรู้ก็เลยบอกว่ามันเป็นความลับ มันทำงานอย่างนี้นะครับ หลังจากที่มันทำการ ประมวลผล code ที่ใส่ไปแล้ว page จะถูก render และส่งกลับมายัง client แต่ก่อนที่จะส่งกลับนั้น หลังจาก render เสร็จมากกว่า ASP.NET จะเพิ่ม JavaScript code เข้าไปที่ท้ายอขง page นั้น JavaScript Code นี้มันทำหน้าที่ กำหนด focus ไปที่ Control ที่ trig Focus() method control ท้ายสุดเลยนะครับ ( หมายถึงหากมีการ trig หลาย ๆ control คนที่ trig คนสุดท้ายนั้นจะได้ focus เมื่อแสดงผลใน Browser ) ตัวอย่างก็แบบนี้นะครับ

นอกจากการ เรียกใช้ Focus() method ตรง ๆ แล้ว เรายังสามารถที่จะ set focus ให้กับ control ที่เราต้องการให้ถูก focus เสมอเมื่อ แสดง page นั้น ( นอกเสียจากว่า มันโดน แทนที่ด้วยการ เรียก Focus() method ) ทำได้ด้วยการ กำหนดที่ DefaultFocus property ของ Form แบบนี้

ที่มาที่ไปของ WebForm_AutoFocus() ที่ ASP.NET สร้างขึ้นให้ อัตโนมัตินั้น เป็น JavaScript method ที่มีอยู่ใน WebResource.axd ( ASP.NET extension ) มีชื่อว่า Focus.js ถ้าเรา อยากจะดูให้ลึกลงไปสักนิดเมื่อเราไปเปิด HTML page ดู จะเห็น script element ที่อ้างอิงไปยัง Focus.js มีลักษณะคล้าย ๆ แบบนี้

วิธีอื่น ที่เราจะเล่นกับ focus ก็คือการใช้งาน access keys เช่นเมื่อเรา กำหนด AccessKey property ของ TextBox ให้เป็น A เมื่อ ผู้ใช้ กด Alt+A focus จะสลับไปยัง TextBox ทันที่ Label ก็ใช่ว่าจะไม่มีอะไรให้เล่นนะครับ ถึงแม้ว่าตัวมันเองไม่สามารถ รับ focus ได้ วิธีก็คือ ให้ กำหนด AssociatedControlID property ของ Label ให้เป็น ID ของ input control ที่มันเป็นตัวอธิบายอยู่ ด้วยวิธีนี้ label จะโยน focus ไปยัง control ที่เรากำหนด ID ไว้ใน AssociatedControlID

ตัวอย่างเช่น Label ใน code จะส่ง focus ให้กับ TextBox2 เมื่อผู้ใช้งาน กด Alt+2


TextBox2:

เป็นต้น
เพิ่มเติมอีกนิด เรื่องของ access keys นั้น browser ที่ เป็น non-Microsoft browsers พูดง่าย ไม่ใช้ IE ก็สนับสนุน นะครับ เช่น Firefox เป็นต้น

Categories: ASP.NET Tags: ,

การป้องกันการโจมตีด้วย SQL Injection , SQL Injection Attacks

December 29, 2008 2 comments

ในเรื่องที่จะพูดถึงนี้ น่าจะพูดได้ว่าเป็นเกร็ดเล็กเกร็ดน้อยที่ ผู้พัฒนาควรจะรู้และเป็นประโยชน์มากเมื่อนำไปประยุกต์ใช้งาน เรื่องที่จะพูดถึงก็คือ การป้องกันการโจมตีด้วย

SQL Injection มันเป็นอย่างไร พูดอย่างง่าย ๆ ก็คือ กระบวนการหรือการ ส่งหรือใส่ SQL code ไปยัง application โดยที่ผู้พัฒนาไม่ได้ตั้งใจหรือไม่ได้เจตนาที่ทำให้เกิด SQL code แบบนั้น ( เกิดจากบุคคลที่ 3 ด้วยความปรารถนาที่เป็นลบนั่นเอง ) คงพอจะเข้าใจนะครับ  ซึ่งเหตุการณ์แบบนี้จะเกิดขึ้นได้ก็ต่อเมื่อ application นั้นถูกออกแบบมาอย่างไม่ดีเท่าที่ควร หรือที่เรียกว่า poor design นะครับ  — ส่วนใหญ่มันมักถูกจะออกแบบมาแบบนั้นซะด้วยซิ ว่าไหมครับ  — ซึ่งมันก็จะเกิดกับ application ที่ใช้เทคนิค การสร้าง SQL String ให้กับ Command Object โดยการรับข้อมูลมาจาก ผู้ใช้งาน คงจะนึกภาพไม่ออก มาดูตัวอย่างเพื่อให้มองเห็นภาพอย่างชัดเจนดีกว่านะครับ

String sql =
“SELECT Orders.CustomerID, Orders.OrderID, COUNT(UnitPrice) AS Items, “ +
“SUM(UnitPrice * Quantity) AS Total FROM Order “ +
“INNER JOIN OrderDetails “ +
“ON Orders.OrderID = OrderDetail.OrderID “ +
“WHERE Orders.CustomerID = ‘” + txtID.Text +” ’ ” +
“GROUP BY Orders.OrderID, Orders.CustomerID”;

SqlCommand cmd = new SqlCommand(sql,connection);

จากตัวอย่าง ผู้บุกรุกอาจจะทดสอบ SQL statement ด้วยวิธีการต่าง ๆ โดยจุดประสงค์แรกก็คือเพื่อให้ได้มาซึ่ง error Message ซึ้งถ้า Error นั้นไม่ถูกปล่อยปะละเลยหรือไม่ถูกดำเนินอย่างเหมาะสมแล้วละก็ System Error message อาจถูกแสดงออกไป และเป็นประโยชน์ต่อผู้บุกรุกที่จะนำไปใช้ต่อไปได้อีก
ตัวอย่าง ลองคิดกันดูนะครับว่าจะเกิดอะไรขึ้นถ้า user ป้อนข้อมูลนี้ลงใน TextBox จากตัวอย่างข้างต้น

ALFKI’ OR ‘1’=’1

จะส่งผลให้ SQL Statement เป็นดังนี้

SELECT Orders.CustomerID, Orders.OrderID, COUNT(UnitPrice) AS Items,
SUM(UnitPrice * Quantity) AS Total FROM Orders
INNER JOIN [Order Details]
ON Orders.OrderID = [Order Details].OrderID
WHERE Orders.CustomerID = ‘ALFKI’ OR ‘1’=’1′
GROUP BY Orders.OrderID, Orders.CustomerID

พิจารณา Expression หลัง WHERE จะเห็นว่า ข้อมูลทั้งหมดในตาราง Orders จะถูกแสดงออกมา ใช่ไหมครับ ผมคงไม่ต้องอธิิบายรายละเอียดนะครับ เนื่องจากว่า มันเป็น Logic ของ OR ใช่ไหมครับ ถ้าค่าด้านหนึ่งด้านใด เป็น จริง ก็จะส่งผลให้ทั้ง Statement เป็น จริงแมนบ่ ครับ  น่านแหละครับ 1=1 เป็น จริง ไม่ว่า CustomerID จะเป็นอะไรก็ตาม ทั้งหมดเป็นจริง

sqlinject11ครับ คิดต่ออีกนิดถ้าหากว่าข้อมูลดังกล่าวนั้นเป็นข้อมูลที่ Sensitive หละครับ เช่น Social Security numbers  วันเกิด   หรือ  ข้อมูล Credit card   ละก็จะถือว่านี้เป็นปัญหาใหญ่หลวง ซึ่งอาจก่อให้เกิดความเสียหายมหาศาล ใช่ใหม่ครับ

ตัวอย่างวิธีการที่ซับซ้อนมากกว่านั้นขึ้นไปอีกเช่น
ผู้บุกรุกสามารถ comment ส่วนท้ายของ SQL Statement โดยใช้ — สำหรับ SQL Server ( MySql ใช้ # และ Oracle ใช้ ; ) หรือ ใช้ การสั่งงานแบบ Batch ได้เพื่อเพิ่ม SQL Code เข้าไปทำงานอย่างใดอย่างหนึ่ง ในกรณีนี้ สำหรับ SQL Server ก็แค่เพียงเพิ่ม semicolon และตามด้วย Command ที่ีต้องการ ซึ่งทำให้ผู้บุกรุกสามารถ ลบข้อมูลใน Table อื่นได้ หรือ สามารถเรียกใช้ SQL Server xp_cmdshell system stored procedure เพื่อประมวลผลโปรแกรม ที่ command line ได้ เป็นไงหล่ะครับ ไปได้ถึงขนาดนั้น
ครับลองดูตัวอย่างนี้นะครับ ถ้าผู้ใช้งานกรอกข้อมูลนี้ลงใน txtID TextBox ลองพิจารณาดูนะครับ

ALFKI’ ; DELETE * FROM Customers —

หมายความว่า หลังจากที่ได้แสดงข้อมูล Orders ของ CustomerID เท่ากับ ALFKI แล้ว ต่อด้วยการลบข้อมูลทั้งหมดในตาราง Customers และยกเลิก คำสั่งต่อท้ายที่เหลือทั้งหมด ครับ

ว่ากันด้วยการป้องกัน —
ต่อมา เราลองมาดูกันว่าเราจะทำอย่างไรถึงจะสามารถจัดการหรือป้องกันการโจมตีแบบนี้ ได้บ้าง
แน่นอนครับ สำหรับโปรแกรมเมอร์แล้วเราสามารถการปฏิบัติตาม แนวทางที่เราเชื่อว่าเป็นแนวทางการปฏิบัติที่ดีเช่น การจำกัดความยาวของข้อมูลที่อนุญาตให้ป้อนลงใน TextBox โดยการกำหนด TextBox.MaxLength ไม่ให้ยาวเกินความจำเป็น ซึ่งเป็นการลดโอกาสที่ ผู้รุกจำสามารถป้อน script ยาว ๆ ลงไปได้ ยิ่งไปกว่านั้น เราต้องทำการจำกัดข้อมูลของ Error message ถ้าเราดัก exception ของ database เราก็ควรที่จะแสดงเฉพาะข้อความที่เป็นคำอธิบาย เช่น “Data source error” แทนที่จะแสดง ข้อมูลใน Exception.Message ซึ่งอาจจะเป็นจะเป็นการชี้ โพรงให้กระรอกได้ ( ช่องโหว่ของระบบได้ )

และยิ่งไปกว่านั้น คุณก็ต้อง จัดการกับ character พิเศษต่าง เช่น แปลง single quotation marks (‘) เป็น two quotation marks (“) เพื่อให้ไม่ทำให้เกิดความสับสนกับ ตัวปิดหัวท้าย

string ID = txtID.Text().Replace(“‘”,”””);

ครับ ไม่ได้หมายถึงมันจะจบสิ้นนะครับ มันจะนำมาซึ่ง ความปวดหัวเพิ่มเข้าไปอีกถ้า ค่าของ txtID.Text นั้นมี apostrophes ขึ้นมา ซึ่งมันอาจจะเกิดขึ้นได้ อีกต่อ ๆ ไปซึ่งสรุปได้ว่า แนวทางปฏิบัติดังกล่าวไม่สามารถแก้ไขปัญหา SQL Injection ได้อย่างสมบูรณ์แบบ ผมสรุปแบบนี้ไม่ใช่ว่ามันจะจบลงแบบนี้หรอกนะครับ เพียงแต่จะบอกว่ามีวิธีการที่ดีกว่านั้นสำหรับการป้องกัน SQL injection attack ซึ่งผมจะไ้ด้กล่าวต่อไป

การป้องกัน SQL injection attack โดยการ ใช้ Parameterized Commands

Parameterized Command ใช้ placeholders ใน SQL text ซึ่ง Parameterized command นี้เป็นตัวกำหนด dynamic values ที่จะส่งผ่านมาทาง Parameters collection ของ Command object ดูดังตัวอย่าง นะครับ
จาก SQL Statement
SELECT * FROM Customers WHERE CustomerID = ‘ALFKI’
เปลี่ยนเป็น
SELECT * FROM Customers WHERE CustomerID = @CustID

ลองมาดูตัวอย่างเต็ม ๆ กันนะครับ ( สมมติว่าเราสร้าง connection object ไว้แล้ว )

String sql =
“ SELECT Orders.CustomerID, Orders.OrderID, COUNT(UnitPrice) AS Items, “ +
“ SUM(UnitPrice * Quantity) AS Total FROM Orders “ +
“ INNER JOIN OrderDetails “ +
“ ON Order.OrderID = OrderDetails.OrderID “ +
“ WHERE Orders.CustomerID = @CustID “ +
“ GROUP BY Orders.OrderID, Orders.CustomerID” ;
SqlCommand cmd = new SqlCommand(sql,con);
cmd.Parameters.Add(“@CustID”, txtID.Text);

ถ้าเราลองทำ SQL injection attack กับ code ที่ถูกปรับปรุงใหม่แล้ว เราจะบบว่าโปรแกรมจะไม่ส่งข้อมูลใดออกมาแสดงผลเลยเนื่องจาก นั่นก็หมายความว่าไม่มี order items ใดที่มีข้อมูล customerID มีค่าเท่ากับ ALFKI’ OR ‘1’=’1 ซึ่งเป็นสิ่งที่คุณต้องการใช่ไหมครับ

การป้องกัน SQL injection attack โดยการ ใช้ Stored Procedures
Stored Procedures ผมคงจะไม่อธิบายว่ามันคืออะไรทำงานอย่างไรหรอกนะครับ คิดว่าท่านทั้งหลาย รู้จักดีอยู่แล้ว แต่จะขอกล่าวถึงประโยชน์ของมันสักนิดหนึ่ง คือ

  • ง่ายต่อการบำรุงรักษา หมายถึงว่าตัว stored procedures นั้นมันแยกอยู่ต่างหากกับโปรแกรมที่เรียกใช้มัน เพราะฉะนั้นหากจะต้องมีการเปลี่ยนแปลงอะไรที่ stored procedure ก็สามารถทำได้โดยไม่ต้องมีการ Recompile ทั้งโปรแกรมนั่นเอง
  • ทำใ้ห้เราสามารถใช้งาน database ในวิถีทางที่ปลอดภัยได้ เราสามารถที่จะกำหนดให้ stored procedures สามารถเข้าถึงเฉพาะ tables ที่กำหนดได้
  • – ทำให้ประสิทธิภาพการทำงานดีขึ้น เนื่องจาก stored procedures สามารถรวม หลาย ๆ คำสั่งทำงานในคราวเดียวกันได้ ซึ่งทำให้เราสามารถทำงาน ให้เสร็จหลาย ๆงานพร้อมกันได้ต่อหนึ่งรอบการเข้าถึง database

มาดูตัวอย่างกันดีกว่านะครับว่าจะใช้งานอย่างไร ซึ่งจริงแล้วไม่ก็คือ การใช้ Place holder กับ Parameterized Command Object นั่นแหละ ครับ เพียงแต่เราเรียกใช้ stored procedure แทนที่จะใช้การส่งผ่าน sql text สมมติว่าเราสร้าง Stored procedure ไว้ดังนี้นะครับ

CREATE PROCEDURE InsertEmployee
@TitleOfCourtesy varchar(25),
@LastName varchar(20),
@FiratName varchar(10),
@EmployeeID int OUTPUT
AS
INSERT INTO Employees ( TitleOfCourtesy, LastName, FirstName, HireDate )
VALUES (@TitleOfCourtesy, @LastName, @FirstName, GETDATE());

SET @EmployeeID = @@IDENTITY
GO

Stored procedures มี parameters 3 ตัวคือ TitleOfCourtesy, LastName, และ FirstName ซึ่ง return ID ของ record ออกมาทาง output parameters ชื่อว่า @EmployeeID

ต่อไปเราสร้าง SqlCommand เพื่อเรียกไปยัง stored procedure command นี้มี input Parameters 3 ตัวเช่นเดียวกัน และ ส่งค่า ID ของ record ใหม่ออกมาให้ต่อไปเป็นตัวอย่างของการสร้าง

SqlCommand cmd = new SqlCommand(“InsertEmployee”, con);
cmd.CommandType = CommandType.StoredProcedure;

ต่อไปเราก็เพิ่ม parameters ของ stored procedures เข้าไปที่ Collection ของ Command.Parameters ซึ่งเราต้องกำหนด data type และ ขนาดของ parameter นั้นด้วย ดังนี้

cmd.parameters.Add(new SqlParameter(“@TitleOfCourtesy”, SqlDbType.NVarChar,25));
cmd.Parameters[“@TitleOfCourtesy”].Value = title;
cmd.Parameters.Add(new SqlParameter(“@LastName”, SqlDbType.NVarChar, 20));
cmd.Parameters[“@LastName”].Value = lastName;
cmd.Parameters.Add(new SqlParameter(“@FirstName”, SqlDbType.NVarChar, 10));
cmd.Parameters[“@FirstName”].Value = firstName;

cmd.Parameters.Add(new SqlParameter(“@EmployeeID”, SqlDbType.Int, 4));
cmd.Parameters[“@EmployeeID”].Direction = ParameterDirection.Output;

สังเกตว่า Parameter ตัวสุดท้ายนั้นเป็น output parameter นะครับ

สุดท้ายเราก็ทำการ run

con.Open();
try
{
int numAff = cmd.ExecuteNonQuery();
HtmlContent.Text += String.Format(“Inserted {0} record(s)
“, numAff);
// Get the newly generated ID.
empID = (int)cmd.Parameters[“@EmployeeID”].Value;
HtmlContent.Text += “New ID: ” + empID.ToString();
}
finally
{
con.Close();
}

ครับทั้งหมด ก็มาจบตรงที่ สองวิธีการสุดท้ายที่เราสามารถที่จะป้องกันการ โจมตี ด้วย SQL Injection ได้อย่างมีประสิทธิภาพ ก็คือการใช้ Parameterized Commands และการใช้ Stored procedures นั่นเอง นี่เป็น ส่วนหนึ่งของการแก้ปัญหานี้นะครับ
หากต้องการข้อมูลเพิ่มเติมละก็ ผมใช้ข้อมูลจากหนังสือเล่มนี้นะครับ Pro ASP.NET 2.0 in C# 2005

การทำ Master-Detail โดยใช้ BindingSource,Master-Detail using BindingSource

December 23, 2008 2 comments

ในการสร้าง Database Application นั่นในบางครั้งเราอาจจะต้องการ การแสดงผลในลักษณะที่เป็น Master-Detail คือมีตารางหลักและตารางที่แสดงผล Detail อีกหนึ่งตาราง เมื่อคลิกที่ record ใด record หนึ่งในตารางหลัก ก็จะนำไปสู่การแสดงผลที่ตารง Detail ที่สัมพันธ์กับข้อมูลในตารางหลัก ซึ่งการทำในลักษณะนี้เราเรียกกันว่า Master-Detail นะครับ ส่วนวิธีการนั้นก็มีวิธีการทำได้หลากหลายนะครับตั้งแต่ แบบลูกทุ่ง ไปจนถึง Best Practices ในบทความนี่เราจะหล่าวถึงวิธีที่การทำโดยใช้ component ที่ชื่อว่า BindingSource ถ้าใครเป็นแฟนของ ADO.NET ก็คงพอจะรู้ว่า มันเป็น component ที่เริ่มมีใช้ใน version 2.0 นะครับ ถ้าผมไม่เลอะเลือน  ซึ่งวิธีการนี้จะทำให้ programmer ลดงานต่าง ๆ ลงมากและ ลดข้อผิดพลาดลงได้มากนะครับ ไม่ต้องเสียเวลาไปพะวงกับการ ตรวจสอบมากจนเกินไป

สำหรับการทำงานผมจะกล่าวถึง concept ในการทำก่อน นะครับ ตัวอย่างของแนวคิดนี้ก็เช่น เรามีตาราง Orders และ OrderDetails โดยทั้งสองตารางนี้เราอ้างอิงกันโดยใช้ OrderID นะครับ ดังรูป

pic2

แล้วใน windows Form นั้นเราต้องการแสดงผลดังนี้

dotnet_databinding_3

นั่นก็คือเราใช้ DataGridView กับทั้งสอง table แล้ว Binding ด้วย BindingSource ให้กับทั้งสอง table ซึ่งเดี๋ยวเราจะมาดูกันว่าเราจะ Binding อย่างไร และเราก็จะต้อง สร้าง Relation ของทั้งสองตารางนี้ ใน DataSet ที่เรา Fill ทั้งสองตารางนี้ลงไปด้วย คือเราจะทำการ Fill ทั้งสอง Table ลงใน Dataset เดียวกันแล้วก็สร้าง Relation ระหว่างทั้งสอง Tables นี้แล้วจึง ทำการ Binding ให้กับ DataGridView นะครับ นั่นคือ Concept ทั้งหมดในการทำ ต่อไปเรามาดูขั้นตอนวิธีการทำเลยดีกว่านะครับ

สมมุติว่าเราได้สร้าง windows Form แล้วและเราได้ นำเอา DataGridView มาวางใน Form แล้วตั้งชื่อให้ว่าเป็น dgvOrders และ dgvOrderDetails นะครับ  อีกนิดหนึ่งนะครับ ฐานข้อมูลถ้าเราใช้ Microsoft Access เราต้อง  using System.Data.OleDb หรือ  ถ้าเราใช้ Microsoft SQLServer เราต้อง using System.Data.SqlClient นะครับ

  • เราก็จะต้องประการตัวแปร object ต่าง ที่เราจะต้องใช้งานเสียก่อนนะครับ   เช่น  OleDbConnection, OleDbCommand, OleDbDataAdapter, BindingSource
  • .
    .
    using System.Data.OleDb;

    namespace WindowsApplication1
    {
    public partial class Form1 : Form
    {
    OleDbConnection myConnection;
    OleDbCommand myCommand;
    OleDbDataAdapter myDataAdapter;
    BindingSource orders_BindingSource;
    BindingSource ordersDetail_BindingSource;
    DataSet myDataset;
    public Form1()
    {
    InitializeComponent();
    }
    private void Form1_Load(object sender, EventArgs e)
    {

    }
    .
    .
    .
    }

  • ต่อไป เราจะทำการ Binding ใน  Form1_load นะครับ ในที่นี้ผมจะไม่กล่าวถึง Connection String นะครับ ทุกท่านคงจะรู้แล้วนะครับ  เราจะกำหนด Sql String ไว้สองชุดเพื่อการเข้าถึงข้อมูลในแต่ละ Table จะใช้ Sql String อันเดียวก็ได้นะครับ ผมใช้สองชุดก็เพื่อให้การอธิบายมันชัดเจน แล้วเราจะใช้  myCommand กำหนด SelectCommand ให้กับ myDataAdapter และ เราก็จะ Fill ลงใน DataSet ซึ่งเรา จะทำการ Fill ลงไปสองครั้ง ดูตามตัวอยางก็แล้วกันนะครับ private void Form1_Load(object sender, EventArgs e)
            {
                string ConnectionString = GetConnectionString();
                myConnection = new OleDbConnection(ConnectionString);
                myConnection.Open();

                string SqlString1 = “Select * from Orders”;
                string SqlString2 = “Select * from OrderDetails”;

                myCommand = myConnection.CreateCommand();
                myCommand.CommandType = CommandType.Text;
                myCommand.CommandText = SqlString1;

                myDataAdapter = new OleDbDataAdapter();
                myDataAdapter.SelectCommand = myCommand;

                myDataSet = new DataSet();

                myDataAdapter.Fill(myDataSet, “Orders”);

                myCommand.CommandText = SqlString2;

                myDataAdapter.Fill(myDataSet, “OrderDetails”);

            }

  • ครับต่อไปเราจะสร้าง Relation ระหว่าง 2 Tables นี้นะครับ เราจะตั้งชื่อ Relation นี้ว่า เป็น Oreder_OrderDetail นะครับ  และเราก็จะใช้ OrderID เป็น ตัวข้อมูลอ้างอิงของทั้งสองตารางดังนี้นะครับดูตามตัวอย่างเลย นะครับ private void Form1_Load(object sender, EventArgs e)
    {
    .
    .
    .
                myDataAdapter.Fill(myDataSet, “Orders”);

                myCommand.CommandText = SqlString2

                myDataAdapter.Fill(myDataSet, “OrderDetails”);
                // —- สร้าง relation —–
                DataRelation myDataRelation = new DataRelation(“Order_OrderDetails”,
                                              myDataSet.Tables[“Orders”].Columns[“OrderID”],
                                              myDataSet.Tables[“OrderDetails”].Columns[“OrderID”]);
                //————————
    orders_BindingSource = new BindingSource();
    ordersDetail_BindingSource = new BindingSource();

    // –กำหนด DataSource ให้กับ Bindingsource
    orders_BindingSource.DataSource = myDataSet;
    orders_BindingSource.DataMember = “Orders”;

    ordersDetail_BindingSource.DataSource = orders_BindingSource;
    ordersDetail_BindingSource.DataMember = “Order_OrderDetails”;

    // –Binding ให้กับ Datagridview ทั้งสอง
    dgvOrders.DataSource = orders_BindingSource;
    dgvOrderDetails.DataSource = ordersDetail_BindingSource;
            }

  • ต่อไปทำ การสร้าง BindingSource และกำหนด DataSource ให้กับ BindingSource ทั้งสองนะครับ และก็ต่อไปเลยก็คือ Binding ให้กับ DataGridView ทั้งสองด้วย ดูต่อจาก code ด้านบนนะครับ…
  • ครับ ถ้าดูจากตัวอย่าง code แล้วคงจะพอเข้าใจได้ไม่ยากนะครับ ทั้งหมดนี้ก็เป็นการ ทำการ Binding ในลักษณะ Master-Details ซึ่งผมเคยลองหาใน internet แล้วก็ค่อนข้างที่หายากนิดหนึ่งไม่ค่อยมีใครอธิบายละเอียดละออเป็นภาษาไทยนะครับ ผมก็พยายามอธิบายให้ละเอียดเพื่อเพื่อน โปรแกรมเมอร์คนไทยด้วยกัน  ในเรื่องของการ Binding แบบนี้ นะครับ เป็นคุณลักษณะที่ ใช้กับ ADO.NET 2.0 ขึ้นไปนะครับ รู้สึกว่าถ้าต่ำกว่านี้เขาจะไม่มี  BindingSource ครับ  จริงแล้วการ Binding นั้นยังมีอีกมากนะครับ ในตัวอย่างที่ผมกล่าวมาแล้วนี้เป็นลักษณะ  one to many นะครับ ยังมีแบบ many to many อีก ซึ่งคงต้องเอาไว้มีเวลาแล้วจะมาลงไว้ให้นะครับ  หรือถ้าใครมีแหล่งข้อมูลก็ช่วย post comment ให้ด้วยนะครับเพื่อ เป็นวิทยาทาน ให้กับเพื่อนโปรแกรมเมอร์ด้วยกัน นะครับ  s_teerapong2000@yahoo.com
  • สำหรับหนังสือที่เรียกได้ว่าเป็นสุดยอดของเรื่องนี้ก็ต้องเล่มนี้นะครับ  “Data Binding with Windows Forms 2.0 – Programming Smart Client Data Applications with .NET” นะครับ

การทำ Deploy .NET Window application

December 22, 2008 7 comments

พอดีจะทำ Setup project  กับ โปรเจคเล็ก ๆ ทีทำไว้ ต้องการให้รวมเอา Ms Access ไปด้วยและต้อง รวมเอา Crystal Report Runtime เข้าไปด้วย ยังหาข้อมูลตรงนี้ไม่ได้ ก็เลยตั้งใจว่าคงต้อง ให้เวลากับมันสัีกนิด เพื่อทำความเข้าใจจริงจัง แล้วไหน ๆ ทำแล้วก็ เผยแพร่เพื่อ เพื่อน ๆ โปรแกรมเมอร์ และนักพัฒนาโปรแกรม ด้วยกัน …

ไหน ๆ ก็ พูดแล้วกล่าวถึงคำว่า Deployment กันสักนิด  หลังจากที่เราได้พัฒนา Application เส็จสิ้นสมบูรณ์แล้ว ถึงเวลาที่เราจะนำโปรแกรมไปให้กับผู้ใช้งาน หรือสร้างเป็นชุด Installation เพื่อทำให้โปรแกรมของเราสามารถที่ทำงานบนเครื่องผู้ใช้ได้อย่างสมบูรณ์ เราก็ต้องสร้าง ชุด Install ที่สามารถนำไฟล์ทุกไฟล์ที่เกี่ยวข้อง กับการทำงานของโปรแกรม ไม่ว่าจะเป็น .exe , .dll , component ต่าง ๆ ที่เกี่ยวข้อง  third party component  ไฟล์อื่น ๆ เป็นต้น หรือแม้แต่การสร้าง directory การสร้าง shortcut  การทำ environment บนเครื่องเป้าหมาย ให้มีสภาวะเช่นเดียวกับ เครื่องที่เราใช้พัฒนา  กระบวนการที่เราทำสิ่งเหล่านี้ก็คือการ Deployment นั่นเอง

วิธีการที่เราจะกล่าวถึง สำหรับการ Deploying .NET Application คือการใช้ Visual studio .NET Deployment Tools  ซึ่งใช้เครื่องมือที่มีมาพร้อมกับ .NET Visual studio ในบทความนี้ เราอ้างอิง Visual Studio 2005 นะครับ ซึ่งเจ้าเครื่องมือนี้ เราสามารถใช้สำหรับการทำงานดังต่อไปนี้นะครับ

  1. ใช้ Copy ไฟล์ที่จำเป็นทั้งหมดไปยังเครื่อง เป้าหมาย
  2. นอกจากที่มันทำในข้อ 1 แล้วมันก็ยังสามารถเอาไฟล์เหล่านั้นไปไว้ยัง Folders ต่าง ๆ ตามความต้องการของโปรแกรม
  3. และเรายังสามารถใช้ให้มันสร้าง Registry entry ได้ตามต้องการอีกด้วย
  4. และยิ่งไปกว่านั้นเราสามรถทำ custom Dialog ได้ และตรวจสอบ ความต้องการเบื่องต้น เช่น ตรวจสอบว่ามี .NET Framework บนเครื่องเป้าหมายหรือไม่ เป็นต้น
  5. และอื่น ๆ อีก เราสามารถเลือกใช้ได้ตามความต้องการของเรานะครับ

เรามาดูกันที่ เมื่อเริ่มต้นสร้างเราสร้างกัน อย่างไร การเริ่มต้นสร้าง นั้นใช้วิธีการเดียวกับการสร้างโปรเจค นะครับ กล่าวคือเมื่อเราเริ่มสร้างโปรเจค เราเลือก Project type ที่ชื่อว่า Setup Deployment  project  เราสามารถเลือก  template สำหรับการ deployment ได้ตามชนิดของ Application ที่เราทำนะครับ ซึ่งมันก็จะมี

  1. Setup Project สำหรับการสร้าง Deployment ให้กับ Project ธรรมดาที่ทำงานโดยใช้ windows form
  2. Web Setup Project สำหรับสร้าง Deployment ให้กับ Project ที่เป็น Web application
  3. Merge module project สำหรับ การสร้าง Deployment ให้กับ component หมายถึงเราจะ deploy component ที่เราสร้างนะครับไม่ใช่ application
  4. Cab project ก็เช่นเดียวกัน นะครับสำหรับการ deploying component   เช่น component ที่สร้างสำหรับการทำงานบนเครื่อง client เราใช้ component ชนิดนี้วางไว้บน Web server เมื่อ Web browser ต้องการ component การสามารถ download จาก server และทำที่เครื่อง client ได้ คงจะพอนึก app. ประเภทนี้ออกนะครับ
  5. Web Wizard Project มี Wizard  นำทางตลอดทุกขั้นตอนในการทำงาน เหมาะสำหรับ มือใหม่นะครับ จะเริ่มที่นี่
  6. Smart Device Cab Project สำหรับการ Deploying Application ที่ทำงานกับ Pocket PC หรือ smart Phone

เอาหล่ะครับเข้าประเด็นดีกว่า ความต้องการก็คือ เรา ต้องการ ให้มีการสร้าง path ที่เครื่องปลายทางและ นำเอา file Database ของเรา รวมไปใส่ไว้ที่ path นั้น รวม  Crystal report และ .Net framework ด้วย . นั่นคือทั้งหมด ที่ต้องการ

เราเริ่มด้วยการสร้าง Set up Project  เราสามารถที่จะสร้างไว้ภายใน Solution เดียวกันก็ได้ หรือ สร้างไว้ต่าง Solution กันก็ได้ (แล้ว add project เข้ามาทีหลัง) ผมขอกล่าวกึงวิธีการ สร้าง ไว้ภายใน Solution เดียวกันก็แล้วกันนะครับ เพราะเวลาเราทำ Installation file ก็มักจะทำ ให้กับ solution ใด solution หนึ่งเท่านั้น

  • หลังจากเรา เปิด  Solution ขี้นมาแล้ว คือเมื่อเรา เปิดโปรเจคใดโปรเจคหนึ่ง มันก็จะเปิด Solution ที่โปรแจคนั้นอยู่ขึ้นมาทั้งหมด เราก็ Add โปรเจคใหม่เข้าไป โดยเราเลือก ให้เป็น  “Setup Project” นะครับ แล้วตั้งชื่อให้กับโปรเจกสักหน่อยก็ได้ ไม่งั้นเราก็จะได้ชื่อ Default ซึ่ง เป็น Setup1 Setup2 .. หรืออะไรก็ตาม pic11

pic2

  • ถัดมาเราจะได้ view ที่เรียกว่า File system view  ซึ่งจะมีรายการของ File system ดังนี้
    • Application Folder ซึ่งมันก็คือ  “C:/Program Files/ชื่อเรา[manufacturer]/projectductname”
    • Profile Folder มันคือ  “C:/Program Files” ของเรานั้นเอง
    • User’s Desktop คือ path ที่อ้างไปยัง หน้าจอ desktop ของ  User แต่ละคนนั่นเอง
    • สุดท้าย ก็คือ User’s Program Menu คือ path ที่อ้างไปยัง All programs ใน start นั่นเอง

ที่จริงเราสามารถเพิ่มเข้ามาได้อีก กรณีที่เรามีความต้องการใช้งานมากกว่านี้  คลิกขวาที่ File system on target machine แล้วเลือก Add special folder ผมจะไม่กล่าวถึงในตอนนี้ นะครับเพราะเท่าที่มีนั้นเพียงพอต่อความต้องการของผมแล้ว (ฝรั่งเขาเรียกว่า commonly used ไง ยังไงก็ต้องใช้มัน )

  • ขั้นตอนต่อไปคือ การทำ Project output ก็คือว่าจะให้ Project ไหนเป็นตัวโปรแกรมหลักในการ Deploy ครั้งนี้ หรือ main project นั้นแหละครับ เราผมจะให้มันสร้างภายใต้ Application Folder นะครับ ก็คลิกขวาที่ Application Folder แล้วเลือก Add –> Project output นะครับ แล้วจะมีโปรเจค ให้เราเลือก เราก็เลือกว่า โปรเจคใดที่เราต้องการ ดังรูป

pic3 เรา Project ใน combobox แล้ว Primary output ที่ Listbox ด้านล่าง นะครับ แล้วก็ OK

  • เราจะได้ Primary output ขึ้นทางด้านขวามมือนะครับ หากเราสร้าง class library  project ที่เราอ้างอิงจาก primary เราก็จะเห็น .dll ของ class library เหล่านั้นแสดงอยู่ด้วย ดังนี้
  • pic4จะเห็นว่า ภายใต้ Application Folder ของผมมี Sub folder เพิ่อมเขามาอีก นั้นคือเราเพิ่มเขามา เพื่อให้เป็น sub folder ที่อยู่ภายใต้ folder เดียวกับ .exe file นั่นเอง คือผมต้องการให้มี folder สำหรับ database (ใส่ ฐานข้อมูล MsAccess) และ reports ที่เราเรียกใช้ระหว่างโปรแกรมทำงานนั่นเอง การเพิ่มก็เพียงแค่ คลิดขวาที่ Application folder แล้วเลือก Add->Folder เท่านั่นเอง ครับ
  • ส่วนไฟล์ที่ต้องการ add เข้าไปในแต่ละ Folder (database และ reports )นั้นก็ คลิกวาที่ Folder นั้นแล้วเลือก Add->file แล้วเราก็ไปเลือกไฟล์ที่เราต้องการ เช่น filename.mdb เป็นต้น มันก็จะทำการรวม file นั้นเขามาในโปรเจค เช่นเดียวกันกับ reports ซึ่งผมใช้ crystal report ในระหว่างการเขียนโปรแกรมมมันก็จะรวมอยู่กับ code file  ผมก็ add มันเขามาใน folder reports ครับ แต่ข้อที่ควรรระวังก็คือ คุณตั้งกลับไปจัดการกับ การอ้างอิง file เหล่านี้อีกครั้ง ให้ตรงกับ ที่ทำไว้ใน setup project และ build ใหม่อีกครั้ง ผมหมายถึงใน primary project นะครับ
  • ต่อไปเราจะทำการสร้าง shortcut ที่หน้า desktop และสร้าง item ใน Programe Menu    จริงแล้วไม่ใช่เรืองยากเลย ครับ อันดับแรกเราสร้าง short cut ก่อน โดยการคลิกขวาที่ primary output from ……… (active) แล้วก็เลือก “Create shortcut to primary…… ” หลังจากนั้นเราก็จะได้ shortcut มาในชื่อเดียวกันเราก็เปลี่ยนชื่อซะให้เหมาะสม แล้วก็ ดึงไปวางไว้ – หากต้องการให้เป็น shortcut ที่หน้าจอ desktop ก็ วางไว้ที่ User’s Desktop folder ด้านซ้ายมือ
  • ในกรณี User’s Program Menu นั้น หากเรามีหลาย Shortcut เราอาจต้องการทำให้เป็นกลุ่มไม่ปะปนกับ menu อื่น ๆ เราก็ต้อง สร้าง folder ภายใต้ User’s Program Menu ด้วย ใช้ชื่ออะไร ก็ตาม หลังจากนั้นเราก็ สร้าง short cut เช่นเดียวกันกับ ที่กล่าวมาก่อนหน้านี้ แล้วก็ลากมาวางไว้ที่ folder ที่อยู่ภายใต้ User’s Program Menu นี้ เราก็จะได้ menu ตามที่เราต้องการ
  • นั่นเป็นทั้งหมด ที่ผมทำนะครับ อ้อมีเพิ่มเติมนะครับ เรื่อง Prerequisites … ในกรณีของผมนี่ ต้องการให้ Setup ของผม ตรวจสอบและ install  crystal report สำหรับ .net framwork 2.0 ด้วย และ ก็รวมถึง framework ด้วยนะครับ เราก็สามารถที่จะกำหนดได้ดังนี้นะครับ  ใน solution explorer ให้คลิกขวาที่ setup project แล้วเลือก properties นะครับจะได้หน้าจอ properties ขึ้นมาเราก็เลือกไปที่ปุ่ม prerequisites นะครับแล้วเราก็เลือก จะเอาอะไรก็ ตามต้องการ pic5
  • จากรูปนะครับ เลือกเสร็จด้านล่าง ถัดมาเราก็เลือก Download prerequisties from the same location as my application นะครับ ผมไม่แน่ใจว่า option นี้หมายถึงให้เอาจาก Installation ที่เราทำใช่หรือป่าวนะครับ เพราะผมยังได้ลอง install เครื่องอื่น เลยไม่ clear ตรงนี้ แต่ผมสังเกตุเห็นว่า ภายใต้ Debug จะมี sub folder ของ library เหล่านี้ปรากฎอยู่ อาจจะเป็นแค่ bosttrap โปรแกรมก็ได้ นะครับ คือมันเริ่มต้น และ download ส่วนที่เหลือ จาก internet นะครับ
  • ในกรณี prerequisites นี้หลายท่านแนะนำว่า ให้เรา แยกต่างหากไปเลย หมายถึง ถ้าเราต้องการ ให้ผู้ใช้ลง .net framework เราให้ ผู้ใช้ install .net framework ก่อน หรือเราจัดให้พร้อมกับชุด install ก็ได้ เช่นเดียวกันกับ crystal report นะครับ หลายท่านก็บอกให้แยก ประโยชน์ก็คือ มันจะ update ตัวมันเองได้ หากมีการ update เพิ่มเติม เขาว่ามาแบบนั้นนะครับ
  • ครับ เพิ่มเติมข้อที่แล้วอีกนิดนะครับ สำหรับใครต้องการ  crystal report  (runtime) ก็มา ได้ที่นี่นะครับ https://www.sdn.sap.com/irj/boc/businessobjects-downloads แล้วก็ คลิกที่ Get Crystal Reports, Crystal Reports Server, and Xcelsius downloads
  • ส่วน .NET Framework คงไม่ต้องบอกนะครับว่า ไป download ได้ที่ไหน
  • มาถึงสุดท้าย ท่านก็ build setup Project แล้วก็ลอง install ดูนะครับ  แล้วก็ลอง run ดูนะครับ  เรื่องการตรวจสอบ เรื่อง .net framework หรือ crystal report นั้นควรจะต้องไปหาเครื่องอื่นลงนะครับ เครื่องที่ยังบริสุทธิอยู่นะครับ ถึงจะรู้ว่า ผิดถูกประการใด ส่วนเรื่อง path ต่าง ๆ นั้นเราตรวจสอบ ได้บนเครื่องเรา แต่ต้องระวังนะครับ บางที่ เราอาจไม่เห็นขอผิดพลาดเพราะว่า บางครั้งถึงแม้เราแก้ไข path อ้างอิง ไม่หมด แล้ว ปรากฏว่าโปรแกรมทำงานได้ ที่ได้ก็เพราะว่า path เดิมของไฟล์ที่เราอ้างอิงนั้นมันยังมีอยู่ มันก็เลยยังทำงานได้ พอไปลงจริงอาจจะเกิดปัญหาได้ ต้องอรบคอบหน่อยนะครับตรงน้
  • ก็คงจะจบลงตรงนี้ก่อนะครับ คิดว่าคงพอเป็นแนวทางให้กับหลาย ๆ ท่านได้ นำเอาไปต่อยอดกันเอาเอง นะครับ หากมีอะไรเพิ่มเติมหรือ ท้วงติงก็ comment มา่ได้นะครับ หรือ จะเพิ่มเติมมาก็ได้เพื่อเป็นประโยชน์กับเพื่อน ๆ คนอื่น ต่อไป นะครับ หรือจะ mail มาคุยกันก็ได้นะครับ s_teerapong2000@yahoo.com