ASP也使用ORM,给ASP上所有的SQL注入画上句号
来源:asp之家 发布时间:2011-04-03 11:02:00
一般写ASP PHP代码的朋友都估计是采用直接操作SQL的吧~
看以下的代码
<%
dim conn,rs
set conn=CreateObject("Adodb.Connection")
conn.open ....
set rs=conn.execute("select * from news");
...
遍历 rs....
%>
这样实现速度快是肯定的了,但是在结构逻辑上面1条半条语句当然不觉得怎样!语句多了问题也就来了!
参数没过滤啊,SQL存在注入啊等等~OK 现在我们来换个设计模型!
采用 3层结构 + ORM
ORM : OBJECT RELATION MAPPING
那什么是 ORM技术呢? 熟悉JAVA .NET开发的朋友一定很清楚...就是对象关系映射
把表映射为类 字段映射为属性 而记录则映射为对象...现在JAVA的ORM持久层框架N多
例如hibernate ibatis EntityBean(EJB其中一种)
那在ASP上面呢? 我们也一样可以实现.等等介绍
3层结构 : WEB展现层 中间层 持久层
以下有一个news 的表 简单一点的
create table news(
id int,
title varchar(200),
contect varchar(50000)
) 我们把他映射为类
<%
Class News
private id,title,contect
Sub setID(sid)
id=Cint(sid)
End Sub
Function getID
getID=id
End Function
Sub setTitle(stitle)
title=mid(stitle,1,200)'限制了长度
End Sub
....
End Class
%> 然后我们再设计如何操作数据库转换为对象的代码
<%
Class NewsDataAccessObject
dim conn,rs,cmd
'查询一篇新闻
Function getNewsByID(id)
set conn=Applcation("connection")'连接池里面获取一个连接
set cmd=GetCmd() ' GETCMD函数实现 return createobject("Adodb.Command")
selectString="select * from NEWS where id = @id"
cmd.ActiveConnection = conn
cmd.CommandType = adCmdText ' Const adCmdText=1
cmd.CommandText = selectString
'为刚刚的的@id追加参数,常量 adInteger = 3 adParamInput=1
cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, , id)
'运行SQL语句 返回结果集合
set rs=cmd.execute()
dim anews
set anew=new News
if rs.eof then
else
anew.setID(rs("id")&"")
anew.setTitle(rs("title")&"")
anew.setContect(rs("Contect")&"")
end if
rs.close
set rs=nothing
set cmd=nothing
set conn=nothing
set getNewsByID=anew
End Function
'插入一篇新闻
Function addNews(anew)
dim conn,cmd
if isempty(anew) then addNews=false
set conn=Applcation("connection")'连接池里面获取一个连接
set cmd=GetCmd() ' GETCMD函数实现 return createobject("Adodb.Command")
insertString="insert into NEWS(id,title,contect) values( @id , @title , @contect )"
cmd.ActiveConnection = conn
cmd.CommandType = adCmdText ' Const adCmdText=1
cmd.CommandText = insertString
'为刚刚的的@id @title @contect追加参数,常量 adInteger = 3 adParamInput=1 adVarWChar = 202
cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, , anew.getID() )
cmd.Parameters.Append cmd.CreateParameter("@title",adVarWChar, adParamInput, 200 , anew.getTitle() )
cmd.Parameters.Append cmd.CreateParameter("@contect",adVarWChar, adParamInput, 50000 , anew.getConect() )
'运行SQL语句
cmd.execute()
set cmd=nothing
set conn=nothing
addNews=true
End Function
Function findByTitle(stitle)
....
End Function
Function getPageNews(page,size)
....
End Function
End Class
%> 以上就是对数据库操作然后把结果封装到对象里面 或者把对象写入数据库
这样实现虽然速度上面会稍慢 但是总体逻辑结构非常明显,不需要关心变量是否已经给过滤或者多过滤
而web页面层的设计人员更多的关注于界面方面
以下为提交添加新闻代码
<%
dim id,title,contect,anew,dao
id=Request("id")
title=Request.Form("title")
contect=Request.Form("contect")
set anew=new NEWS
anew.setID(id)
anew.setTitle(title)
anew.setContect(contect)
set dao=new NewsDataAccessObject
if dao.addNews(anew) then
'response.write
echo "success"
else
echo "error"
end if
%> 把新闻查出来显示
<%
dim id,dao,anew
id=Request("id")
set dao=new NewsDataAccessObject
set anew=dao.getNewsByID(id)
if anew.getID()<>"" then
%> 标题:<%=anew.getTitle()%>
内容:<%=anew.getContect()%>
.....
以上片段代码如有错漏谢谢指点~~~
使用这样的设计方式就根本不需要像XXXBLOG XXXBBS XXX文章系统那样
忘记Replace(SQL,"'","''") 而产生injection了!
对于页面的整洁性而言 也不会出现SQL语句,连接等 美工负责好自己的工作然后把对象的属性放到相应的位置就OK
而有可能有朋友会觉得 用户认证方面呢!那更省事了把用户表的用户对象放到session里面就OK
<%
if isempty(session("user")) or session("user")="" then
'跳转
else
set auser=session("user")
echo "欢迎你:" & auser.getName()
%>
猜你喜欢
- 饼图中的series有个avoidLabelOverlap属性,avoidLabelOverlap:是否启用防止标签重叠策略,默认开启,在标
- 校勘(collation)是指对代码页、字母大小写、音调、语言和字母表的整理,很多校勘都是在数据进入数据库之前进行的,根据我的经验,北美的大
- 背景最近在搞爬虫,很多小组件里面都使用了 Python 的 requests 库,很好用,很强大。但最近发现很多任务总是莫名其妙的卡住,不报
- 1 各种疫苗梳理截至2022年3月,中国已经向120多个国家和国际组织提供了超过21亿剂疫苗,占中国以外全球疫苗使用总量的1/3。1.1 灭
- 先看一下总体效果:上传文件做了大小和类型的限制,在动图中无法展现出来。使用file类型的input实现选择本地文件但是浏览器原生的文件上传按
- 本文主要研究的是Python对内存的使用(深浅拷贝)的相关问题,具体介绍如下。浅拷贝就是对引用的拷贝(只拷贝父对象) 深拷贝就是对对象的资源
- JavaScript经常会验证中文,这里提供两个例子: Javascript代码: /** *A simple example */ fun
- Python 操作 Excel常用工具数据处理是 Python 的一大应用场景,而 Excel 又是当前最流行的数据处理软件。因此用 Pyt
- 在同事那整了个免安装版的Mysql,然后添加到window服务,但是中间出现很多问题,总结一下个人经验,希望其他人不要走弯路。1)在同事那或
- 简介MySQL通过复制(Replication)实现存储系统的高可用。目前,MySQL支持的复制方式有:异步复制(Asynchronous
- PySide是一个免费的软件,与PyQt不同之处在于使用了LGPL,允许PySide免费的开发商业软件。 PySide有15个模块。这些模块
- 如果你看到别人写trim函数是用循环而不用正则表达式来写,请不要取笑,也许,他们就是高手。如果你很自信你的trim函数效率很高,请看完本文再
- 在操作DataFrame时,肯定会经常用到loc,iloc,at等函数,各个函数看起来差不多,但是还是有很多区别的,我们一起来看下吧。首先,
- 目录一、v-bind关键源码分析1、v-bind化的属性统一存储在哪里:attrsMap与attrsList2、解析HTML,解析出属性集合
- 前言最近在做一个人脸识别的项目,需要用数据库保存学生信息与前段交互。MySQL的优点1、mysql性能卓越,服务稳定,很少出现异常宕机。2、
- 一、遇到的问题在向数据库中存入汉字时遇到这样的问题:Cause: java.sql.SQLException: Incorrect stri
- 插件下载:blueideasearch.xpi首先第一步 说一下怎么样查看firefox插件的源码, 就我上边写的那个东西,把它下载下来.将
- 我的Windows 8.1 环境1.下载安装Python 2.7.6在Python官方网站中下载Python2.7.6的Windows安装包
- 一、使用场景需求1、在实际项目开发过程中,用户可以操作的数据,我们往往会新增一个字段,来保存用户最后一次修改时间2、一些系统中,我们需要存储
- 问题描述初步使用PyTorch进行平方根计算,通过range()创建一个张量,然后对其求平方根。a = torch.tensor(list(