欧美成人在线网站,欧美视频导航,精品国产美女在线

主頁(yè) > 知識(shí)庫(kù) > 新手asp編程的基本法則與常見(jiàn)錯(cuò)誤注意事項(xiàng)

新手asp編程的基本法則與常見(jiàn)錯(cuò)誤注意事項(xiàng)

一、新手常犯的錯(cuò)誤
在論壇看到很多帖子代碼中都有一個(gè)共同的基本錯(cuò)誤，字段類(lèi)型錯(cuò)誤。
程序和數(shù)據(jù)庫(kù)是緊緊相連的，數(shù)據(jù)庫(kù)字段文本型或時(shí)間型的都使用單引號(hào)
比如下面這段修改語(yǔ)句：
conn.execute "update Counts set counts='"counts"' where num="num" and Atime='"now()"'"
等號(hào)左邊都是字段名，等號(hào)右邊是傳值過(guò)來(lái)的變量名，counts 字段是文本型，所以寫(xiě)入時(shí)必須前后加單引號(hào)，無(wú)論是寫(xiě)入還是查詢都一樣，后面的查尋語(yǔ)句中，num 字段是數(shù)字型，所以前后就沒(méi)有單引號(hào)了，Atime 字段是時(shí)間型所以前后也要加單引號(hào)。
最重要的是以ID查詢，ID字段是唯一的并且數(shù)字類(lèi)型，很明顯查詢ID號(hào)時(shí)前后也不能有單引號(hào)
conn.execute "update Counts set counts='"counts"' where id='"id"'"  '錯(cuò)誤寫(xiě)法
conn.execute "update Counts set counts='"counts"' where id="id  '正確寫(xiě)法

二、ACCESS 數(shù)據(jù)庫(kù)連接
通常數(shù)據(jù)庫(kù)連接有兩種方式，新手基本不知道用哪一種方式，或者在什么情況下用哪一種，又或者不知道兩者的原理
①直接連接數(shù)據(jù)庫(kù)文件
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ="Server.MapPath("database/yanhang.mdb")

②通過(guò)數(shù)據(jù)源來(lái)連接數(shù)據(jù)庫(kù)文件
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source="Server.MapPath("database/yanhang.mdb")

那么，兩者到底哪一個(gè)好呢，當(dāng)然是第二種，因?yàn)榈谝环N其實(shí)就是客戶端瀏覽器直接讀取數(shù)據(jù)庫(kù)的，所以安全方面差很多，第二種通過(guò)數(shù)據(jù)源連接，是以服務(wù)器數(shù)據(jù)源工具連接的，與客戶端沒(méi)關(guān)系，所以數(shù)據(jù)庫(kù)不會(huì)暴露給客戶端，安全系數(shù)高很多。

ACCESS 數(shù)據(jù)庫(kù)對(duì)應(yīng)程序的應(yīng)用：①直接連接數(shù)據(jù)庫(kù)文件
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ="Server.MapPath("database/yanhang.mdb")
這樣的數(shù)據(jù)庫(kù)連接方式，添加語(yǔ)句：
set rs=server.createobject("adodb.recordset")   '(正確寫(xiě)法)
rs.open "select * from dndj",conn,1,3
rs.addnew
rs("bh") = bh
rs("bm") = bm
rs("xm") = xm
rs("xsq") = xsq
rs.update
rs.close
set rs=nothing

set rs=server.createobject("adodb.recordset")  '(錯(cuò)誤寫(xiě)法)
sql="insert into dndj(bh,bm,xm,xsq) values('bh','bm','xm','xsq')"
rs.open sql,conn,1,3

ACCESS 數(shù)據(jù)庫(kù)對(duì)應(yīng)程序的應(yīng)用：②通過(guò)數(shù)據(jù)源來(lái)連接數(shù)據(jù)庫(kù)文件
conn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source="Server.MapPath("database/yanhang.mdb")
這樣的數(shù)據(jù)庫(kù)連接方式，添加語(yǔ)句：
conn.execute "insert into dndj(bh,bm,xm,xsq) values('"bh"','"bm"','"xm"','"xsq"')"    '(正確寫(xiě)法)

set rs=server.createobject("adodb.recordset")  '(錯(cuò)誤寫(xiě)法)
sql="insert into dndj(bh,bm,xm,xsq) values('bh','bm','xm','xsq')"
rs.open sql,conn,1,3

三、雙引號(hào)的應(yīng)用
通常我們寫(xiě)超級(jí)連接這樣 a href="abc.asp?id=%=rs("id")%>">超級(jí)連接/a>
但要是把這個(gè)超級(jí)連接編譯進(jìn)asp里面呢
response.write "a href=""abc.asp?id="rs("id")""">超級(jí)連接/a>"   '(正確寫(xiě)法)
response.write "a href='abc.asp?id="rs("id")"'>超級(jí)連接/a>"       '(正確寫(xiě)法)
response.write "a href=abc.asp?id="rs("id")">超級(jí)連接/a>"        '(正確寫(xiě)法)

response.write "a href="abc.asp?id=%=rs("id")%>">超級(jí)連接/a>"  '(錯(cuò)誤寫(xiě)法)
response.write "a href="abc.asp?id="rs("id")"">超級(jí)連接/a>"       '(錯(cuò)誤寫(xiě)法)

表單編譯進(jìn)asp里  input type="text" name="id" value="%rs("id")%>" />
response.write "input type=""text"" name=""id"" value="""rs("id")""" />" '(正確寫(xiě)法) 注意：這里有三個(gè)雙引號(hào)
response.write "input type='text' name='id' value='"rs("id")"' />"       '(正確寫(xiě)法)
response.write "input type=text name=id value="rs("id")" />"            '(正確寫(xiě)法)

response.write "input type="text" name="id" value="%=rs("id")%>" />"  '(錯(cuò)誤寫(xiě)法)
response.write "input type="text" name="id" value=""rs("id")"" />"       '(錯(cuò)誤寫(xiě)法)

四、防止ACCESS數(shù)據(jù)庫(kù)被下載的幾個(gè)方法
很多動(dòng)態(tài)站點(diǎn)大量應(yīng)用了數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)理所當(dāng)然成了一個(gè)站點(diǎn)的核心文件。一旦數(shù)據(jù)庫(kù)被非法下載，極有可能被惡意人士破壞網(wǎng)站?；蛘吒`取資料。

下面提供的方法分別適用使用虛擬主機(jī)空間的用戶和有IIS控制權(quán)的用戶！

   一：購(gòu)買(mǎi)虛擬主機(jī)空間的，適合沒(méi)有IIS控制權(quán)
1：發(fā)揮你的想象力修改數(shù)據(jù)庫(kù)文件名
這個(gè)是最基本的。我想現(xiàn)在也沒(méi)有多少連數(shù)據(jù)庫(kù)文件名都懶得改的人吧？至于改成什么，你自己看著辦，至少要保證文件名復(fù)雜，不可猜測(cè)性。當(dāng)然這個(gè)時(shí)候你的數(shù)據(jù)庫(kù)所在目錄是不能開(kāi)放目錄瀏覽權(quán)限的！

2：數(shù)據(jù)庫(kù)名后綴改為ASA、ASP等
這個(gè)聽(tīng)說(shuō)很流行，不過(guò)我測(cè)試了好多次，發(fā)現(xiàn)并不理想，如果真正要起到防止下載的作用，要進(jìn)行一些二進(jìn)制字段添加等設(shè)置，一句話，繁而復(fù)雜（如果你的數(shù)據(jù)庫(kù)有很多的話，這個(gè)方法實(shí)在不是很好）

3：數(shù)據(jù)庫(kù)名前加“#”
只需要把數(shù)據(jù)庫(kù)文件前名加上#、然后修改數(shù)據(jù)庫(kù)連接文件（如conn.asp）中的數(shù)據(jù)庫(kù)地址。原理是下載的時(shí)候只能識(shí)別 #號(hào)前名的部分，對(duì)于后面的自動(dòng)去掉，比如你要下載：http://bbs.bccn.net/date/#123.mdb(假設(shè)存在的話）。無(wú)論是IE還是FLASHGET等下到的都是http://bbs.bccn.net/date/index.htm

另外在數(shù)據(jù)庫(kù)文件名中保留一些空格也起到類(lèi)似作用，由于HTTP協(xié)議對(duì)地址解析的特殊性，空格會(huì)被編碼為"%20",如http://bbs.bccn.net/date/123 456.mdb
下載時(shí)http://bbs.bccn.net/date/123%20456.mdb。而我們的目錄就根本沒(méi)有123%20456.mdb這個(gè)文件，所以下載也是無(wú)效的，即使你暴露了數(shù)據(jù)庫(kù)地址，一般情況下別人也是無(wú)法下載，最好兩種方法同時(shí)使用“#”+空格，例如 http://bbs.bccn.net/date/#123 456.mdb

4：加密數(shù)據(jù)庫(kù)
用ACCESS將你的數(shù)據(jù)庫(kù)以獨(dú)占方式打開(kāi)后，在工具-安全-設(shè)置數(shù)據(jù)庫(kù)密碼，加密后要修改數(shù)據(jù)庫(kù)連接頁(yè)，如：
conn.open "driver={microsoft access driver (*.mdb)};uid=admin;pwd=數(shù)據(jù)庫(kù)密碼;dbq=數(shù)據(jù)庫(kù)路徑"
這樣修改后，數(shù)據(jù)庫(kù)即使被人下載了，別人也無(wú)法打開(kāi)（前提是你的數(shù)據(jù)庫(kù)連接頁(yè)中的密碼沒(méi)有被泄露）
但值得注意的是，由于Access數(shù)據(jù)庫(kù)的加密機(jī)制比較簡(jiǎn)單，即使設(shè)置了密碼，解密也很容易。該數(shù)據(jù)庫(kù)系統(tǒng)通過(guò)將用戶輸入的密碼與某一固定密鑰進(jìn)行“異或”來(lái)形成一個(gè)加密串，并將其存儲(chǔ)在*.mdb文件從地址“H42”開(kāi)始的區(qū)域內(nèi)。所以一個(gè)好的程序員可以輕松制作一個(gè)幾十行的小程序就可以輕松地獲得任何Access數(shù)據(jù)庫(kù)的密碼。因此，只要數(shù)據(jù)庫(kù)被下載，其安全依然是個(gè)未知數(shù)。

  二：有主機(jī)控制權(quán) （當(dāng)然虛擬空間的設(shè)置在這里依然可以用）
5:數(shù)據(jù)庫(kù)放在WEB目錄外
如你的WEB目錄是e:\webroot，可以把數(shù)據(jù)庫(kù)放到e:\data這個(gè)文件夾里，在e:\webroot里的數(shù)據(jù)庫(kù)連接頁(yè)中
修改數(shù)據(jù)庫(kù)連接地址為："../data/#123 456.mdb" 的形式，這樣數(shù)據(jù)庫(kù)可以正常調(diào)用，但是無(wú)法下載的，因?yàn)樗辉赪EB目錄里！這個(gè)方法一般也適合購(gòu)買(mǎi)虛擬空間的用戶。

6:使用ODBC數(shù)據(jù)源。
在ASP等程序設(shè)計(jì)中，如果有條件，應(yīng)盡量使用ODBC數(shù)據(jù)源，不要把數(shù)據(jù)庫(kù)名寫(xiě)在程序中，否則，數(shù)據(jù)庫(kù)名將隨ASP源代碼的失密而一同失密
例如：
conn.open "driver={Microsoft Access Driver (*.mdb)};dbq="Server.MapPath("../123/abc/asfadf.mdb")
可見(jiàn)，即使數(shù)據(jù)庫(kù)名字起得再怪異，隱藏的目錄再深，ASP源代碼失密后，也很容易被下載下來(lái)。
如果使用ODBC數(shù)據(jù)源，就不會(huì)存在這樣的問(wèn)題了：conn.open "ODBC-DSN名" ,不過(guò)這樣是比較煩的，目錄移動(dòng)的話又要重新設(shè)置數(shù)據(jù)源了！

7：添加數(shù)據(jù)庫(kù)名的如MDB的擴(kuò)展映射
這個(gè)方法就是通過(guò)修改IIS設(shè)置來(lái)實(shí)現(xiàn)，適合有IIS控制權(quán)的朋友，不適合購(gòu)買(mǎi)虛擬主機(jī)用戶(除非管理員已經(jīng)設(shè)置了）。這個(gè)方法我認(rèn)為是目前最好的。只要修改一處，整個(gè)站點(diǎn)的數(shù)據(jù)庫(kù)都可以防止被下載。無(wú)須修改代碼即使暴露目標(biāo)地址也可以防止下載。

設(shè)置：
在 IIS屬性---主目錄---配置---映射---應(yīng)用程序擴(kuò)展那里添加.mdb文件的應(yīng)用解析。注意這里的選擇的DLL（或EXE等）似乎也不是任意的，選擇不當(dāng)，這個(gè)MDB文件還是可以被下載的，  注意最好不要選擇選擇asp.dll等。你可以自己多測(cè)試下
這樣修改后下載數(shù)據(jù)庫(kù)如：http://bbs.bccn.net/data/dvbbs6.mdb。就出現(xiàn)（404或500等錯(cuò)誤）

8：使用.net的優(yōu)越性
動(dòng)網(wǎng)的木鳥(niǎo)就寫(xiě)過(guò)一個(gè)防非法下載文件的“WBAL 防盜鏈工具”。記得本論壇曾經(jīng)也有位牛人也發(fā)表過(guò)數(shù)據(jù)庫(kù)防下載的插件，是.dll的加載到IIS里的。
不過(guò) 那個(gè)只實(shí)現(xiàn)了防止非本地下載的，沒(méi)有起到真正的防下載數(shù)據(jù)庫(kù)的功能。不過(guò)這個(gè)方法跟第5種差不多
可以通過(guò)修改.NET文件，實(shí)現(xiàn)本地也不能下載！

這幾個(gè)方法中，只有第7和8個(gè)是統(tǒng)一性改的，一次修改配置后，整個(gè)站點(diǎn)的數(shù)據(jù)庫(kù)都可以防止下載，其他幾個(gè)就要分別修改數(shù)據(jù)庫(kù)名和連接文件，比較麻煩，不過(guò)對(duì)于虛擬主機(jī)的朋友也只能這樣了！

其實(shí)第6種方法應(yīng)該是第5種方法的擴(kuò)展，可以實(shí)現(xiàn)特殊的功能，但對(duì)于不支持.net的主機(jī)或者怕設(shè)置麻煩的話，還是直接用第5種方法了，而且默認(rèn)情況下第6種方法，依然可以通過(guò)復(fù)制連接到同主機(jī)的論壇或留言本發(fā)表，然后就可以點(diǎn)擊下載了（因?yàn)檫@樣的引用頁(yè)是來(lái)自同主機(jī)的）

這幾個(gè)方法各有長(zhǎng)短，請(qǐng)自己選擇性地使用。這些方法也不是絕對(duì)的安全，還需要網(wǎng)站管理員平時(shí)注意一些系統(tǒng)的安全，以及寫(xiě)ASP代碼本身的安全，否則依然有可能被人下載或者修改數(shù)據(jù)庫(kù)！

標(biāo)簽：江門(mén) 新余錫林郭勒盟儋州雅安七臺(tái)河廣元宣城

巨人網(wǎng)絡(luò)通訊聲明：本文標(biāo)題《新手asp編程的基本法則與常見(jiàn)錯(cuò)誤注意事項(xiàng)》，本文關(guān)鍵詞新手,asp,編程,的,基本,法則,；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題，煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們，我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無(wú)關(guān)。