ASP也使用ORM,给ASP上所有的SQL注入画上句号
来源:asp之家 发布时间:2011-04-03 11:02:00
一般写ASP PHP代码的朋友都估计是采用直接操作SQL的吧~
看以下的代码
<%
dim conn,rs
set conn=CreateObject("Adodb.Connection")
conn.open ....
set rs=conn.execute("select * from news");
...
遍历 rs....
%>
这样实现速度快是肯定的了,但是在结构逻辑上面1条半条语句当然不觉得怎样!语句多了问题也就来了!
参数没过滤啊,SQL存在注入啊等等~OK 现在我们来换个设计模型!
采用 3层结构 + ORM
ORM : OBJECT RELATION MAPPING
那什么是 ORM技术呢? 熟悉JAVA .NET开发的朋友一定很清楚...就是对象关系映射
把表映射为类 字段映射为属性 而记录则映射为对象...现在JAVA的ORM持久层框架N多
例如hibernate ibatis EntityBean(EJB其中一种)
那在ASP上面呢? 我们也一样可以实现.等等介绍
3层结构 : WEB展现层 中间层 持久层
以下有一个news 的表 简单一点的
create table news(
id int,
title varchar(200),
contect varchar(50000)
) 我们把他映射为类
<%
Class News
private id,title,contect
Sub setID(sid)
id=Cint(sid)
End Sub
Function getID
getID=id
End Function
Sub setTitle(stitle)
title=mid(stitle,1,200)'限制了长度
End Sub
....
End Class
%> 然后我们再设计如何操作数据库转换为对象的代码
<%
Class NewsDataAccessObject
dim conn,rs,cmd
'查询一篇新闻
Function getNewsByID(id)
set conn=Applcation("connection")'连接池里面获取一个连接
set cmd=GetCmd() ' GETCMD函数实现 return createobject("Adodb.Command")
selectString="select * from NEWS where id = @id"
cmd.ActiveConnection = conn
cmd.CommandType = adCmdText ' Const adCmdText=1
cmd.CommandText = selectString
'为刚刚的的@id追加参数,常量 adInteger = 3 adParamInput=1
cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, , id)
'运行SQL语句 返回结果集合
set rs=cmd.execute()
dim anews
set anew=new News
if rs.eof then
else
anew.setID(rs("id")&"")
anew.setTitle(rs("title")&"")
anew.setContect(rs("Contect")&"")
end if
rs.close
set rs=nothing
set cmd=nothing
set conn=nothing
set getNewsByID=anew
End Function
'插入一篇新闻
Function addNews(anew)
dim conn,cmd
if isempty(anew) then addNews=false
set conn=Applcation("connection")'连接池里面获取一个连接
set cmd=GetCmd() ' GETCMD函数实现 return createobject("Adodb.Command")
insertString="insert into NEWS(id,title,contect) values( @id , @title , @contect )"
cmd.ActiveConnection = conn
cmd.CommandType = adCmdText ' Const adCmdText=1
cmd.CommandText = insertString
'为刚刚的的@id @title @contect追加参数,常量 adInteger = 3 adParamInput=1 adVarWChar = 202
cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, , anew.getID() )
cmd.Parameters.Append cmd.CreateParameter("@title",adVarWChar, adParamInput, 200 , anew.getTitle() )
cmd.Parameters.Append cmd.CreateParameter("@contect",adVarWChar, adParamInput, 50000 , anew.getConect() )
'运行SQL语句
cmd.execute()
set cmd=nothing
set conn=nothing
addNews=true
End Function
Function findByTitle(stitle)
....
End Function
Function getPageNews(page,size)
....
End Function
End Class
%> 以上就是对数据库操作然后把结果封装到对象里面 或者把对象写入数据库
这样实现虽然速度上面会稍慢 但是总体逻辑结构非常明显,不需要关心变量是否已经给过滤或者多过滤
而web页面层的设计人员更多的关注于界面方面
以下为提交添加新闻代码
<%
dim id,title,contect,anew,dao
id=Request("id")
title=Request.Form("title")
contect=Request.Form("contect")
set anew=new NEWS
anew.setID(id)
anew.setTitle(title)
anew.setContect(contect)
set dao=new NewsDataAccessObject
if dao.addNews(anew) then
'response.write
echo "success"
else
echo "error"
end if
%> 把新闻查出来显示
<%
dim id,dao,anew
id=Request("id")
set dao=new NewsDataAccessObject
set anew=dao.getNewsByID(id)
if anew.getID()<>"" then
%> 标题:<%=anew.getTitle()%>
内容:<%=anew.getContect()%>
.....
以上片段代码如有错漏谢谢指点~~~
使用这样的设计方式就根本不需要像XXXBLOG XXXBBS XXX文章系统那样
忘记Replace(SQL,"'","''") 而产生injection了!
对于页面的整洁性而言 也不会出现SQL语句,连接等 美工负责好自己的工作然后把对象的属性放到相应的位置就OK
而有可能有朋友会觉得 用户认证方面呢!那更省事了把用户表的用户对象放到session里面就OK
<%
if isempty(session("user")) or session("user")="" then
'跳转
else
set auser=session("user")
echo "欢迎你:" & auser.getName()
%>
猜你喜欢
- 工作闲余,除抱有浓厚兴趣领域,我很不喜欢看些晦涩难懂的文字,于是想像茶余饭后的闲聊,随谈点话题。一次和一朋友吃饭聊天,随便聊到了他最近做的一
- 我们在网页中使用CSS来设置网页、表格和字体大小,一般使用的是网络上较流行的9磅字:<STYLE type=TEXT/CSS
- 以下函数采用FSO对象,文件位置在FSO.ASP。FSO对象的文件编码属性只有三种,系统默认,Unicode,ASCII,并没有我们要的ut
- 如何制作一个安全的页面?随后,让我们来编程:manage.asp' 登录页面<%@ Language=VB
- Hello every, 我是Sunrise_Chen,有人知道我吗?好久没来这里了,以前偶尔会来这里潜水今天心情很好,写了几个特效果。特效
- 很久以前写过如何成为优秀的设计师,近半年来经常做设计评审,有很多感触,顺便写一点下来,我们的Blog也应该有更高的更新频率。言归正传,我认为
- 关于Mysql的触发器,基本上每个Mysql教程里都有讲到,但是我发现那些教程里讲的都是如何处理其他表的数据。在Mysql中写触发器操作本表
- 50个常用sql语句 Student(S#,Sname,Sage,Ssex) 学生表 Course(C#,Cname,T#) 课程表 SC(
- 一、偏好资源的积累利用DreamWeaver 4制作网页会应用到许多各种类型的要素,比如色彩、图片、模板、脚本等。利用站点资源面板将这些东东
- 字体的处理在网页设计中无论怎么强调也不为过,毕竟网页使用来传递信息的,而最经典最直接的信息传递方式就是文字,所以,了解一点字体的基本知识对于
- 本文总结了asp初学者在学习asp过程中可能会碰到的常见问题,并做了详细的解答。1.如何用Asp判断你的网站的虚拟物理路径 答:使用Mapp
- 可以把本功能写成一个函数,函数的处理过程描述如下:首先调用adodb.connection对象中的openSchema函数,这样会得到一个R
- 今天,由于工作需要,我在自己的电脑上配置了Mysql5环境,同时安装了一个phpMyAdmin管理工具,安装完成后,发现在phpMyAdmi
- 有的时候取出全部数据库记录也许正好满足你的要求,不过,在大多数情况下我们通常只需得到部分记录。这样一来该如何设计查询呢?当然会更费点脑筋了,
- Function Comma(str)If Not(IsNumeric(str)) Or 
- 这个我早就改好了一直没有放上来.现在发给大家用用注意这几个变量它们影响到提示框的效果代码:var rT=true;//允许图像过渡
- 做WEB前台开发也有两年多,在开发中经常要涉及到DOM编程,我想大家也跟我一样,经常要处理各种DOM编程的操作,今天我就拿一个lightbo
- 有一次去超市换货,本能的找到服务中心,服务中心说这个业务在超市旁边一个房间里,由于忘记带小票,那个小房间的人让我去另外一个小房间调电脑里的记
- <html> <head> <title>获取ACCESS数据库表名 -&
- 导航标签彼此互斥、完全穷尽。导航标签其实就是一种文字表达形式,我们用标签来代表网站上的各种分类信息。比如“联系我们”这个标签,代表的内容通