你的位置:| 首页网站建设新手asp编程的基本法则→文章正文  
文章导航


新手asp编程的基本法则

一、新手常犯的错误
在论坛看到很多帖子代码中都有一个共同的基本错误,字段类型错误。
程序和数据库是紧紧相连的,数据库字段文本型或时间型的都使用单引号
比如下面这段修改语句:
conn.execute "update Counts set counts='"&counts&"' where num="&num&" and Atime='"&now()&"'"
等号左边都是字段名,等号右边是传值过来的变量名,counts 字段是文本型,所以写入时必须前后加单引号,无论是写入还是查询都一样,后面的查寻语句中,num 字段是数字型,所以前后就没有单引号了,Atime 字段是时间型所以前后也要加单引号。
最重要的是以ID查询,ID字段是唯一的并且数字类型,很明显查询ID号时前后也不能有单引号
conn.execute "update Counts set counts='"&counts&"' where id='"&id&"'" '错误写法
conn.execute "update Counts set counts='"&counts&"' where id="&id '正确写法

二、ACCESS 数据库连接
通常数据库连接有两种方式,新手基本不知道用哪一种方式,或者在什么情况下用哪一种,又或者不知道两者的原理
①直接连接数据库文件
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ="&Server.MapPath("database/yanhang.mdb")

②通过数据源来连接数据库文件
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source="&Server.MapPath("database/yanhang.mdb")

那么,两者到底哪一个好呢,当然是第二种,因为第一种其实就是客户端浏览器直接读取数据库的,所以安全方面差很多,第二种通过数据源连接,是以服务器数据源工具连接的,与客户端没关系,所以数据库不会暴露给客户端,安全系数高很多。

ACCESS 数据库对应程序的应用:①直接连接数据库文件
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ="&Server.MapPath("database/yanhang.mdb")
这样的数据库连接方式,添加语句:
set rs=server.createobject("adodb.recordset") '(正确写法)
rs.open "select * from dndj",conn,1,3
rs.addnew
rs("bh") = bh
rs("bm") = bm
rs("xm") = xm
rs("xsq") = xsq
rs.update
rs.close
set rs=nothing

set rs=server.createobject("adodb.recordset") '(错误写法)
sql="insert into dndj(bh,bm,xm,xsq) values('bh','bm','xm','xsq')"
rs.open sql,conn,1,3

ACCESS 数据库对应程序的应用:②通过数据源来连接数据库文件
conn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source="&Server.MapPath("database/yanhang.mdb")
这样的数据库连接方式,添加语句:
conn.execute "insert into dndj(bh,bm,xm,xsq) values('"&bh&"','"&bm&"','"&xm&"','"&xsq&"')" '(正确写法)

set rs=server.createobject("adodb.recordset") '(错误写法)
sql="insert into dndj(bh,bm,xm,xsq) values('bh','bm','xm','xsq')"
rs.open sql,conn,1,3

三、双引号的应用
通常我们写超级连接这样 <a href="abc.asp?id=<%=rs("id")%>">超级连接</a>
但要是把这个超级连接编译进asp里面呢
response.write "<a href=""abc.asp?id="&rs("id")&""">超级连接</a>" '(正确写法)
response.write "<a href='abc.asp?id="&rs("id")&"'>超级连接</a>" '(正确写法)
response.write "<a href=abc.asp?id="&rs("id")&">超级连接</a>" '(正确写法)

response.write "<a href="abc.asp?id=<%=rs("id")%>">超级连接</a>" '(错误写法)
response.write "<a href="abc.asp?id="&rs("id")&"">超级连接</a>" '(错误写法)

表单编译进asp里 <input type="text" name="id" value="<%rs("id")%>" />
response.write "<input type=""text"" name=""id"" value="""&rs("id")&""" />" '(正确写法) 注意:这里有三个双引号
response.write "<input type='text' name='id' value='"&rs("id")&"' />" '(正确写法)
response.write "<input type=text name=id value="&rs("id")&" />" '(正确写法)

response.write "<input type="text" name="id" value="<%=rs("id")%>" />" '(错误写法)
response.write "<input type="text" name="id" value=""&rs("id")&"" />" '(错误写法)

四、防止ACCESS数据库被下载的几个方法
很多动态站点大量应用了数据库,数据库理所当然成了一个站点的核心文件。一旦数据库被非法下载,极有可能被恶意人士破坏网站。或者窃取资料。

下面提供的方法分别适用使用虚拟主机空间的用户和有IIS控制权的用户!

一:购买虚拟主机空间的,适合没有IIS控制权
1:发挥你的想象力 修改数据库文件名
这个是最基本的。我想现在也没有多少连数据库文件名都懒得改的人吧? 至于改成什么,你自己看着办,至少要保证文件名复杂,不可猜测性。当然这个时候你的数据库所在目录是不能开放目录浏览权限的!

2:数据库名后缀改为ASA、ASP等
这个听说很流行,不过我测试了好多次,发现并不理想,如果真正要起到防止下载的作用,要进行一些二进制字段添加等设置,一句话,繁而复杂(如果你的数据库有很多的话,这个方法实在不是很好)

3:数据库名前加“#”
只需要把数据库文件前名加上#、然后修改数据库连接文件(如conn.asp)中的数据库地址。原理是下载的时候只能识别 #号前名的部分,对于后面的自动去掉,比如你要下载:http://bbs.bccn.net/date/#123.mdb (假设存在的话)。无论是IE还是FLASHGET等下到的都是 http://bbs.bccn.net/date/index.htm

今天来看到57楼的兄弟说前面加“#”根本就是垃圾,后来测试了下
使用%23的确能下载:http://bbs.bccn.net/date/[color=red]%23123.mdb
后来我研究了下,中间加空格的浏览器自动编译成 %20 也是能够下载的
最后索性都不用,我就使用#+空格的编译码 %23%20.mdb 作为数据库名字
http://bbs.bccn.net/date/%23%20.mdb
经过测试,使用迅雷和普通的下载工具都不能下载[/color]

4:加密数据库
用ACCESS将你的数据库以独占方式打开后,在工具-安全-设置数据库密码,加密后要修改数据库连接页, 如:
conn.open "driver={microsoft access driver (*.mdb)};uid=admin;pwd=数据库密码;dbq=数据库路径"
这样修改后,数据库即使被人下载了,别人也无法打开(前提是你的数据库连接页中的密码没有被泄露)
但值得注意的是,由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串,并将其存储在*.mdb文件从地址“&H42”开始的区域内。所以一个好的程序员可以轻松制作一个几十行的小程序就可以轻松地获得任何Access数据库的密码。因此,只要数据库被下载,其安全依然是个未知数。


二:有主机控制权 (当然虚拟空间的设置在这里依然可以用)
5:数据库放在WEB目录外
如你的WEB目录是e:\webroot,可以把数据库放到e:\data这个文件夹里,在e:\webroot里的数据库连接页中
修改数据库连接地址为:"../data/#123 456.mdb" 的形式,这样数据库可以正常调用,但是无法下载的,因为它不在WEB目录里!这个方法一般也适合购买虚拟空间的用户。

6:使用ODBC数据源。
在ASP等程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密
例如:
conn.open "driver={Microsoft Access Driver (*.mdb)};dbq="&Server.MapPath("../123/abc/asfadf.mdb")
可见,即使数据库名字起得再怪异,隐藏的目录再深,ASP源代码失密后,也很容易被下载下来。
如果使用ODBC数据源,就不会存在这样的问题了:conn.open "ODBC-DSN名" ,不过这样是比较烦的,目录移动的话又要重新设置数据源了!

7:添加数据库名的如MDB的扩展映射
这个方法就是通过修改IIS设置来实现,适合有IIS控制权的朋友,不适合购买虚拟主机用户(除非管理员已经设置了)。这个方法我认为是目前最好的。只要修改一处,整个站点的数据库都可以防止被下载。无须修改代码即使暴露目标地址也可以防止下载。

设置:
在 IIS属性---主目录---配置---映射---应用程序扩展那里添加.mdb文件的应用解析。注意这里的选择的DLL(或EXE等)似乎也不是任意的,选择不当,这个MDB文件还是可以被下载的, 注意最好不要选择选择asp.dll等。你可以自己多测试下
这样修改后下载数据库如:http://bbs.bccn.net/data/dvbbs6.mdb。就出现(404或500等错误)

8:使用.net的优越性
动网的木鸟就写过一个防非法下载文件的“WBAL 防盗链工具”。记得本论坛曾经也有位牛人也发表过数据库防下载的插件,是.dll的加载到IIS里的。
不过 那个只实现了防止非本地下载的 ,没有起到真正的防下载数据库的功能。不过这个方法跟第5种差不多
可以通过修改.NET文件,实现本地也不能下载!

这几个方法中,只有第7和8个是统一性改的,一次修改配置后,整个站点的数据库都可以防止下载,其他几个就要分别修改数据库名和连接文件,比较麻烦,不过对于虚拟主机的朋友也只能这样了!

其实第6种方法应该是第5种方法的扩展,可以实现特殊的功能,但对于不支持.net的主机或者怕设置麻烦的话,还是直接用第5种方法了,而且默认情况下第6种方法,依然可以通过复制连接到同主机的论坛或留言本发表,然后就可以点击下载了(因为这样的引用页是来自同主机的)

这几个方法各有长短,请自己选择性地使用。这些方法也不是绝对的安全,还需要网站管理员平时注意一些系统的安全,以及写ASP代码本身的安全 ,否则依然有可能被人下载或者修改数据库!


字符串截取的四个函数
一、如果只截取前几位,使用left
二、如果只截取后几位,使用right
三、如果只截取中间几位,使用mid
四、分隔符截取,使用split

一、left 截取前3位:得到 ABC
<%
dd="ABCDEFGH"
response.write left(dd,3) '从第1位向后数到第3位
%>

二、right 截取后3位,得到 FGH
<%
dd="ABCDEFGH"
response.write right(dd,3) '从最后1位向前数到第3位
%>

三、mid 截取中间3位,得到 DEF
<%
dd="ABCDEFGH"
response.write mid(dd,4,3) '从第4位开始向后数到第3位
%>

四、split 截取分隔符前后的内容,得到 AB CD EF GH
<%
dd="AB|CD|EF|GH"
response.write split(dd,"|")(0) '得到内容是 AB
response.write split(dd,"|")(1) '得到内容是 CD
response.write split(dd,"|")(2) '得到内容是 EF
response.write split(dd,"|")(3) '得到内容是 GH

'可以写成循环语句来将分隔符左右的内容一一显示出来
for i=0 to 3
response.write split(dd,"|")(i)&"<br/>"
next

'单独调用指定分隔符位置的内容
dim dm(3) '定义一个循环变量
for i=0 to 3
dm(i)=split(dd,"|")(i)
next

response.write dm(0) '得到内容是 AB
response.write dm(1) '得到内容是 CD
response.write dm(2) '得到内容是 EF
response.write dm(3) '得到内容是 GH

'如果不确定 dd 里有多少个分隔符,使用循环参数的时候 to 后面的数字就不能直接写了,需要统计分隔符的数量
for i=0 to UBound(split(dd,"|"))
dm(i)=split(dd,"|")(i)
next
%>

今天来说说SQL数据库的连接方式:
①SQL2000数据库本地连接
Set conn=Server.CreateObject("ADODB.Connection")
conn.open "provider=sqloledb;server=(local);database=数据库名;uid=用户名;pwd=密码;"

②SQL2000数据库远程连接
Set conn=Server.CreateObject("ADODB.Connection")
conn.open "provider=sqloledb;server=200.200.200.200,1433;database=数据库名;uid=用户名;pwd=密码;"

③SQL2005数据库本地连接
Set conn=Server.CreateObject("ADODB.Connection")
conn.open "provider=SQLNCLI;server=(local);database=数据库名;uid=用户名;pwd=密码;"

④SQL2005数据库远程连接
Set conn=Server.CreateObject("ADODB.Connection")
conn.open "driver={sql server};server=200.200.200.200,1433;database=数据库名;uid=用户名;pwd=密码;"

今天来写一下ASP入门与解说
无论是哪种编程语言不外乎就这几种功能
1.读取
2.添加
3.修改
4.删除
5.查询
6.统计
只要将这几种功能运用自如,那么,你就已经会这门语言了

首先我们谈谈数据库:
一般ASP使用 ACCESS 和 SQL 数据库
初学者最好先使用 ACCESS 数据库,装个 OFFIEC 就已经自带 ACCESS 数据库了
ACCESS 版本从 ACCESS98 → ACCESS2000 → ACCESS2003 → ACCESS2007
安装什么版本的 OFFIEC 就是什么版本的 ACCESS

SQL数据库是微软的产品,目前一般使用的SQL数据库为 SQL2000 → SQL2005

ASP读取数据:
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "select * from 表名 order by id desc",conn,1,1 'order by用来排序 id为排序字段,desc为倒序,asc为顺序,1,1为只读,1,3为可操作
do while not rs.eof '循环开始
response.write rs("abc") '显示数据
rs.movenext '循环下一条数据
loop
rs.close '关闭rs记录
set rs=nothing '清除rs记录集
%>
瞧,读取数据就这么简单

ASP添加新数据:
第一种添加方式代码:
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "select * from 表名",conn,1,3 '这里添加新数据就不需要排序了,1,3上面我们已经说了,是可对数据库操作的意思
rs.addnew '开始新数据
rs("字段1")="123456" '将数据添加到字段1
rs("字段2")="123456" '同上
rs.update '开始向数据库写入
rs.close '关闭rs记录
set rs=nothing '清除rs记录集
%>
这种添加方式适合ACCESS和SQL数据库的任何方式连接
下面这个添加语句只适合ACCESS的第②种连接方式,同时也适合SQL数据库任何方式连接
第二种添加方式代码:
<%
conn.execute "insert into 表名(字段1,字段2) values('123456','123456')" '两个括号中要一一对应,多个内容添加用逗号隔开
%>
上面这段添加语句唯一不支持ACCESS第①种数据库连接方式
瞧,添加数据我们也学会了

ASP修改数据:
ASP修改数据多数用在查询指定的数据然后去修改那条数据
第一种修改方式代码:
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "select * from 表名 where id=10",conn,1,3 'where为查询开始,查询条件为id等于10的那条数据
rs("字段1")="123456" '无论字段1中是什么值,我们都把它改成123456这个值
rs("字段2")="123456" '同上
rs.update '开始向数据库写入
rs.close '关闭rs记录
set rs=nothing '清除rs记录集
%>
瞧,修改与添加不同的是少了个rs.addnew,多了个查询条件,其它完全相同
第二种修改方式代码:
<%
conn.execute "update 表名 set 字段1='123456',字段2='123456' where id=10" '多个内容修改用逗号隔开
%>
上面这段修改代码和上面的添加一样唯一不支持ACCESS第①种数据库连接方式

ASP删除数据:
删除数据也用到查询,如果没有查询,那就是将整个表中的所有内容全部删除了,如果你只需要删除其中一条,那就必须使用查询条件
<%
conn.execute "delete 表名 where id=10" '查询到id值等于10的那条数据并且删除
%>
如果是ACCESS数据库就要加上from,例如:
<%
conn.execute "delete from 表名 where id=10"
%>
瞧,这个删除语句就这么简短,它和上面读取,添加,修改语句有所不同

如果你的数据库连接使用的是ACCESS第②种方式或者使用的是SQL数据,那么添加,修改,删除用起来就很简单了,像下面这样

添加:conn.execute "insert into 表名(字段1,字段2) values('123456','123456')"
修改:conn.execute "update 表名 set 字段1='123456',字段2='123456' where id=10"
删除:conn.execute "delete 表名 where id=10"

看起来是不是很清爽

记住,在读取,添加,修改,删除,这四个功能之中只有添加不能带有查询条件,其他三个根据自己的需要可以带查询条件
一、查询条件可以多个条件
例如:conn.execute "delete 表名 where 字段1='123456' and 字段2='123456' and id=10" 之间用and隔开,and前后一定要空格
意思是这三个条件必须同时满足才能查询出你想要的结果

二、查询条件可以使用or或者的意思
例如:conn.execute "delete 表名 where 字段1='123456' or 字段2='123456' or id=10" 之间用or隔开,or前后一定要空格
意思是只要查询的条件满足其中之一就能查询出你想要的结果

三、查询条件还可以使用and和or同时使用
例如:conn.execute "delete 表名 where (字段1='123456' or 字段2='123456') and id=10"
意思是只要查询条件满足 字段1 或者 字段2 中的一条,并且id等于10的条件,注意:括号要括起来

以上三种查询条件适合读取,修改,删除三个功能

统计使用函数sum,count
统计价格:sum
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "select sum(价格字段) as price from 表名 order by id desc",conn,1,1 'as就是将统计出来的结果赋值给临时变量price
response.write rs("price") '显示统计出来的总价格

rs.close
set rs=nothing
%>

统计总数量:recordcount
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "select * from 表名 order by id desc",conn,1,1
response.write rs.recordcount '显示统计出来的总条数

rs.close
set rs=nothing
%>

代码是死的,人的大脑是灵活的,就要看你如何去灵活运用吧!


  上一页 1 2 3 4 5 下一页
 
公司简介 在线客服 客服中心 意见反馈 相关法律 隐私条款 广告服务 友情链接
Q链:515347638  电子邮箱:hanen@126.com 粤ICP备05086553