新手asp编程的基本法则 [新手必看]
作者:cmscn 日期:2009-08-13
一、新手常犯的错误
在论坛看到很多帖子代码中都有一个共同的基本错误,字段类型错误。
程序和数据库是紧紧相连的,数据库字段文本型或时间型的都使用单引号
比如下面这段修改语句:
conn.execute "update Counts set counts='"&counts&"' where num="&num&" and Atime='"&now()&"'"
等号左边都是字段名,等号右边是传值过来的变量名,counts 字段是文本型,所以写入时必须前后加单引号,无论是写入还是查询都一样,后面的查寻语句中,num 字段是数字型,所以前后就没有单引号了,Atime 字段是时间型所以前后也要加单引号。
最重要的是以ID查询,ID字段是唯一的并且数字类型,很明显查询ID号时前后也不能有单引号
conn.execute "update Counts set counts='"&counts&"' where id='"&id&"'" '错误写法
conn.execute "update Counts set counts='"&counts&"' where id="&id '正确写法
二、ACCESS 数据库连接
通常数据库连接有两种方式,新手基本不知道用哪一种方式,或者在什么情况下用哪一种,又或者不知道两者的原理
①直接连接数据库文件
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ="&Server.MapPath("database/yanhang.mdb")
②通过数据源来连接数据库文件
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source="&Server.MapPath("database/yanhang.mdb")
那么,两者到底哪一个好呢,当然是第二种,因为第一种其实就是客户端浏览器直接读取数据库的,所以安全方面差很多,第二种通过数据源连接,是以服务器数据源工具连接的,与客户端没关系,所以数据库不会暴露给客户端,安全系数高很多。
ACCESS 数据库对应程序的应用:①直接连接数据库文件
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ="&Server.MapPath("database/yanhang.mdb")
这样的数据库连接方式,添加语句:
set rs=server.createobject("adodb.recordset") '(正确写法)
rs.open "select * from dndj",conn,1,3
rs.addnew
rs("bh") = bh
rs("bm") = bm
rs("xm") = xm
rs("xsq") = xsq
rs.update
rs.close
set rs=nothing
set rs=server.createobject("adodb.recordset") '(错误写法)
sql="insert into dndj(bh,bm,xm,xsq) values('bh','bm','xm','xsq')"
rs.open sql,conn,1,3
ACCESS 数据库对应程序的应用:②通过数据源来连接数据库文件
conn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source="&Server.MapPath("database/yanhang.mdb")
这样的数据库连接方式,添加语句:
conn.execute "insert into dndj(bh,bm,xm,xsq) values('"&bh&"','"&bm&"','"&xm&"','"&xsq&"')" '(正确写法)
set rs=server.createobject("adodb.recordset") '(错误写法)
sql="insert into dndj(bh,bm,xm,xsq) values('bh','bm','xm','xsq')"
rs.open sql,conn,1,3
三、双引号的应用
通常我们写超级连接这样 <a href="abc.asp?id=<%=rs("id")%>">超级连接</a>
但要是把这个超级连接编译进asp里面呢
response.write "<a href=""abc.asp?id="&rs("id")&""">超级连接</a>" '(正确写法)
response.write "<a href='abc.asp?id="&rs("id")&"'>超级连接</a>" '(正确写法)
response.write "<a href=abc.asp?id="&rs("id")&">超级连接</a>" '(正确写法)
response.write "<a href="abc.asp?id=<%=rs("id")%>">超级连接</a>" '(错误写法)
response.write "<a href="abc.asp?id="&rs("id")&"">超级连接</a>" '(错误写法)
表单编译进asp里 <input type="text" name="id" value="<%rs("id")%>" />
response.write "<input type=""text"" name=""id"" value="""&rs("id")&""" />" '(正确写法) 注意:这里有三个双引号
response.write "<input type='text' name='id' value='"&rs("id")&"' />" '(正确写法)
response.write "<input type=text name=id value="&rs("id")&" />" '(正确写法)
response.write "<input type="text" name="id" value="<%=rs("id")%>" />" '(错误写法)
response.write "<input type="text" name="id" value=""&rs("id")&"" />" '(错误写法)
四、防止ACCESS数据库被下载的几个方法
很多动态站点大量应用了数据库,数据库理所当然成了一个站点的核心文件。一旦数据库被非法下载,极有可能被恶意人士破坏网站。或者窃取资料。
下面提供的方法分别适用使用虚拟主机空间的用户和有IIS控制权的用户!
一:购买虚拟主机空间的,适合没有IIS控制权
1:发挥你的想象力 修改数据库文件名
这个是最基本的。我想现在也没有多少连数据库文件名都懒得改的人吧? 至于改成什么,你自己看着办,至少要保证文件名复杂,不可猜测性。当然这个时候你的数据库所在目录是不能开放目录浏览权限的!
2:数据库名后缀改为ASA、ASP等
这个听说很流行,不过我测试了好多次,发现并不理想,如果真正要起到防止下载的作用,要进行一些二进制字段添加等设置,一句话,繁而复杂(如果你的数据库有很多的话,这个方法实在不是很好)
3:数据库名前加“#”
只需要把数据库文件前名加上#、然后修改数据库连接文件(如conn.asp)中的数据库地址。原理是下载的时候只能识别 #号前名的部分,对于后面的自动去掉,比如你要下载:http://bbs.bccn.net/date/#123.mdb (假设存在的话)。无论是IE还是FLASHGET等下到的都是 http://bbs.bccn.net/date/index.htm
今天来看到57楼的兄弟说前面加“#”根本就是垃圾,后来测试了下
使用%23的确能下载:http://bbs.bccn.net/date/%23123.mdb
后来我研究了下,中间加空格的浏览器自动编译成 %20 也是能够下载的
最后索性都不用,我就使用#+空格的编译码 %23%20.mdb 作为数据库名字
http://bbs.bccn.net/date/%23%20.mdb
经过测试,使用迅雷和普通的下载工具都不能下载
4:加密数据库
用ACCESS将你的数据库以独占方式打开后,在工具-安全-设置数据库密码,加密后要修改数据库连接页, 如:
conn.open "driver={microsoft access driver (*.mdb)};uid=admin;pwd=数据库密码;dbq=数据库路径"
这样修改后,数据库即使被人下载了,别人也无法打开(前提是你的数据库连接页中的密码没有被泄露)
但值得注意的是,由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串,并将其存储在*.mdb文件从地址“&H42”开始的区域内。所以一个好的程序员可以轻松制作一个几十行的小程序就可以轻松地获得任何Access数据库的密码。因此,只要数据库被下载,其安全依然是个未知数。
二:有主机控制权 (当然虚拟空间的设置在这里依然可以用)
5:数据库放在WEB目录外
如你的WEB目录是e:\webroot,可以把数据库放到e:\data这个文件夹里,在e:\webroot里的数据库连接页中
修改数据库连接地址为:"../data/#123 456.mdb" 的形式,这样数据库可以正常调用,但是无法下载的,因为它不在WEB目录里!这个方法一般也适合购买虚拟空间的用户。
6:使用ODBC数据源。
在ASP等程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密
例如:
conn.open "driver={Microsoft Access Driver (*.mdb)};dbq="&Server.MapPath("../123/abc/asfadf.mdb")
可见,即使数据库名字起得再怪异,隐藏的目录再深,ASP源代码失密后,也很容易被下载下来。
如果使用ODBC数据源,就不会存在这样的问题了:conn.open "ODBC-DSN名" ,不过这样是比较烦的,目录移动的话又要重新设置数据源了!
7:添加数据库名的如MDB的扩展映射
这个方法就是通过修改IIS设置来实现,适合有IIS控制权的朋友,不适合购买虚拟主机用户(除非管理员已经设置了)。这个方法我认为是目前最好的。只要修改一处,整个站点的数据库都可以防止被下载。无须修改代码即使暴露目标地址也可以防止下载。
设置:
在 IIS属性---主目录---配置---映射---应用程序扩展那里添加.mdb文件的应用解析。注意这里的选择的DLL(或EXE等)似乎也不是任意的,选择不当,这个MDB文件还是可以被下载的, 注意最好不要选择选择asp.dll等。你可以自己多测试下
这样修改后下载数据库如:http://bbs.bccn.net/data/dvbbs6.mdb。就出现(404或500等错误)
8:使用.net的优越性
动网的木鸟就写过一个防非法下载文件的“WBAL 防盗链工具”。记得本论坛曾经也有位牛人也发表过数据库防下载的插件,是.dll的加载到IIS里的。
不过 那个只实现了防止非本地下载的 ,没有起到真正的防下载数据库的功能。不过这个方法跟第5种差不多
可以通过修改.NET文件,实现本地也不能下载!
这几个方法中,只有第7和8个是统一性改的,一次修改配置后,整个站点的数据库都可以防止下载,其他几个就要分别修改数据库名和连接文件,比较麻烦,不过对于虚拟主机的朋友也只能这样了!
其实第6种方法应该是第5种方法的扩展,可以实现特殊的功能,但对于不支持.net的主机或者怕设置麻烦的话,还是直接用第5种方法了,而且默认情况下第6种方法,依然可以通过复制连接到同主机的论坛或留言本发表,然后就可以点击下载了(因为这样的引用页是来自同主机的)
这几个方法各有长短,请自己选择性地使用。这些方法也不是绝对的安全,还需要网站管理员平时注意一些系统的安全,以及写ASP代码本身的安全 ,否则依然有可能被人下载或者修改数据库!
字符串截取的四个函数
一、如果只截取前几位,使用left
二、如果只截取后几位,使用right
三、如果只截取中间几位,使用mid
四、分隔符截取,使用split
一、left 截取前3位:得到 ABC
<%
dd="ABCDEFGH"
response.write left(dd,3) '从第1位向后数到第3位
%>
二、right 截取后3位,得到 FGH
<%
dd="ABCDEFGH"
response.write right(dd,3) '从最后1位向前数到第3位
%>
三、mid 截取中间3位,得到 DEF
<%
dd="ABCDEFGH"
response.write mid(dd,4,3) '从第4位开始向后数到第3位
%>
四、split 截取分隔符前后的内容,得到 AB CD EF GH
<%
dd="AB|CD|EF|GH"
response.write split(dd,"|")(0) '得到内容是 AB
response.write split(dd,"|")(1) '得到内容是 CD
response.write split(dd,"|")(2) '得到内容是 EF
response.write split(dd,"|")(3) '得到内容是 GH
'可以写成循环语句来将分隔符左右的内容一一显示出来
for i=0 to 3
response.write split(dd,"|")(i)&"<br/>"
next
'单独调用指定分隔符位置的内容
dim dm(3) '定义一个循环变量
for i=0 to 3
dm(i)=split(dd,"|")(i)
next
response.write dm(0) '得到内容是 AB
response.write dm(1) '得到内容是 CD
response.write dm(2) '得到内容是 EF
response.write dm(3) '得到内容是 GH
'如果不确定 dd 里有多少个分隔符,使用循环参数的时候 to 后面的数字就不能直接写了,需要统计分隔符的数量
for i=0 to UBound(split(dd,"|"))
dm(i)=split(dd,"|")(i)
next
%>
今天来说说SQL数据库的连接方式:
①SQL2000数据库本地连接
Set conn=Server.CreateObject("ADODB.Connection")
conn.open "provider=sqloledb;server=(local);database=数据库名;uid=用户名;pwd=密码;"
②SQL2000数据库远程连接
Set conn=Server.CreateObject("ADODB.Connection")
conn.open "provider=sqloledb;server=200.200.200.200,1433;database=数据库名;uid=用户名;pwd=密码;"
③SQL2005数据库本地连接
Set conn=Server.CreateObject("ADODB.Connection")
conn.open "provider=SQLNCLI;server=(local);database=数据库名;uid=用户名;pwd=密码;"
④SQL2005数据库远程连接
Set conn=Server.CreateObject("ADODB.Connection")
conn.open "driver={sql server};server=200.200.200.200,1433;database=数据库名;uid=用户名;pwd=密码;"
今天来写一下ASP入门与解说
无论是哪种编程语言不外乎就这几种功能
1.读取
2.添加
3.修改
4.删除
5.查询
6.统计
只要将这几种功能运用自如,那么,你就已经会这门语言了
首先我们谈谈数据库:
一般ASP使用 ACCESS 和 SQL 数据库
初学者最好先使用 ACCESS 数据库,装个 OFFIEC 就已经自带 ACCESS 数据库了
ACCESS 版本从 ACCESS98 → ACCESS2000 → ACCESS2003 → ACCESS2007
安装什么版本的 OFFIEC 就是什么版本的 ACCESS
SQL数据库是微软的产品,目前一般使用的SQL数据库为 SQL2000 → SQL2005
ASP读取数据:
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "select * from 表名 order by id desc",conn,1,1 'order by用来排序 id为排序字段,desc为倒序,asc为顺序,1,1为只读,1,3为可操作
do while not rs.eof '循环开始
response.write rs("abc") '显示数据
rs.movenext '循环下一条数据
loop
rs.close '关闭rs记录
set rs=nothing '清除rs记录集
%>
瞧,读取数据就这么简单
ASP添加新数据:
第一种添加方式代码:
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "select * from 表名",conn,1,3 '这里添加新数据就不需要排序了,1,3上面我们已经说了,是可对数据库操作的意思
rs.addnew '开始新数据
rs("字段1")="123456" '将数据添加到字段1
rs("字段2")="123456" '同上
rs.update '开始向数据库写入
rs.close '关闭rs记录
set rs=nothing '清除rs记录集
%>
这种添加方式适合ACCESS和SQL数据库的任何方式连接
下面这个添加语句只适合ACCESS的第②种连接方式,同时也适合SQL数据库任何方式连接
第二种添加方式代码:
<%
conn.execute "insert into 表名(字段1,字段2) values('123456','123456')" '两个括号中要一一对应,多个内容添加用逗号隔开
%>
上面这段添加语句唯一不支持ACCESS第①种数据库连接方式
瞧,添加数据我们也学会了
ASP修改数据:
ASP修改数据多数用在查询指定的数据然后去修改那条数据
第一种修改方式代码:
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "select * from 表名 where id=10",conn,1,3 'where为查询开始,查询条件为id等于10的那条数据
rs("字段1")="123456" '无论字段1中是什么值,我们都把它改成123456这个值
rs("字段2")="123456" '同上
rs.update '开始向数据库写入
rs.close '关闭rs记录
set rs=nothing '清除rs记录集
%>
瞧,修改与添加不同的是少了个rs.addnew,多了个查询条件,其它完全相同
第二种修改方式代码:
<%
conn.execute "update 表名 set 字段1='123456',字段2='123456' where id=10" '多个内容修改用逗号隔开
%>
上面这段修改代码和上面的添加一样唯一不支持ACCESS第①种数据库连接方式
ASP删除数据:
删除数据也用到查询,如果没有查询,那就是将整个表中的所有内容全部删除了,如果你只需要删除其中一条,那就必须使用查询条件
<%
conn.execute "delete 表名 where id=10" '查询到id值等于10的那条数据并且删除
%>
如果是ACCESS数据库就要加上from,例如:
<%
conn.execute "delete from 表名 where id=10"
%>
瞧,这个删除语句就这么简短,它和上面读取,添加,修改语句有所不同
如果你的数据库连接使用的是ACCESS第②种方式或者使用的是SQL数据,那么添加,修改,删除用起来就很简单了,像下面这样
添加:conn.execute "insert into 表名(字段1,字段2) values('123456','123456')"
修改:conn.execute "update 表名 set 字段1='123456',字段2='123456' where id=10"
删除:conn.execute "delete 表名 where id=10"
看起来是不是很清爽
记住,在读取,添加,修改,删除,这四个功能之中只有添加不能带有查询条件,其他三个根据自己的需要可以带查询条件
一、查询条件可以多个条件
例如:conn.execute "delete 表名 where 字段1='123456' and 字段2='123456' and id=10" 之间用and隔开,and前后一定要空格
意思是这三个条件必须同时满足才能查询出你想要的结果
二、查询条件可以使用or或者的意思
例如:conn.execute "delete 表名 where 字段1='123456' or 字段2='123456' or id=10" 之间用or隔开,or前后一定要空格
意思是只要查询的条件满足其中之一就能查询出你想要的结果
三、查询条件还可以使用and和or同时使用
例如:conn.execute "delete 表名 where (字段1='123456' or 字段2='123456') and id=10"
意思是只要查询条件满足 字段1 或者 字段2 中的一条,并且id等于10的条件,注意:括号要括起来
以上三种查询条件适合读取,修改,删除三个功能
统计使用函数sum,recordcount
统计价格:sum
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "select sum(价格字段) as price from 表名 order by id desc",conn,1,1 'as就是将统计出来的结果赋值给临时变量price
response.write rs("price") '显示统计出来的总价格
rs.close
set rs=nothing
%>
统计总数量:recordcount
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "select * from 表名 order by id desc",conn,1,1
response.write rs.recordcount '显示统计出来的总条数
rs.close
set rs=nothing
%>
代码是死的,人的大脑是灵活的,就要看你如何去灵活运用吧!
下面我们来说说字段为空的判断:
字段为空有两种,一种是默认值设置为字符的比如SQL数据库字段默认值可以填写 N''
另一种默认值为空的,字段显示内容为 null 的
平时我们查询判断字段为空的把两种空都写上
查询所有为空的字段:
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "Select * from 表名 where abc='' or abc is null",conn,1,1
%>
查询所有不为空的字段:
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "Select * from 表名 where abc<>'' or is abc not null",conn,1,1
%>
那么在读取字段的时候判断是否为空的:
<%
if isnull(rs(字段名))=true or rs(字段名)="" then
'true表示为空
else
'false表示不为空
end if
if rs(字段名) is null or rs(字段名)="" then
'表示为空
else
'表示不为空
end if
if not rs(字段名) isnull or rs(字段名)<>"" then
'表示不为空
else
'表示为空
end if
%>
数据库多表连接查询
学习数据库查询的时候对多表连接查询的有些概念还比较模糊。而连接查询是在数据库查询操作的时候肯定要用到的。对于此概念,我用通俗一些的语言和例子来进行讲解。
首先我们做两张表:员工信息表和部门信息表,在此,表的建立只为讲述连接的概念,所以字段非常的简单
eTB(员工信息表):
eid ename tid
0001 张三 01
0002 李四 01
0003 王五 02
0004 赵六 02
0005 郑七 NULL
tTB(部门信息表)
tid tname
01 技术部
02 市场部
03 工程部
我们现在需要进行连接查询,连接两张表检索数据。分别检索员工信息表的员工编号、员工姓名和部门信息表中的部门名称。
显然,两个表的连接条件是 员工表的部门编号=部门表的部门编号
注意:郑七不属于任何部门(新来的员工,还没有分配到任何的部门),而工程部不存在任何的员工(比如是一个新成立的部门,还没有员工)
1、内连接查询
我们可以有两种方式,这两种是等效的
一种是:Select e.eid,e.ename,d.tname from eTB as e,tTB as d where e.tid=d.tid
二种是:Select e.eid,e.ename,d.tname from eTB as e inner join tTB as d on e.tid=d.tid
检索的结果都是:
eid ename tname
0001 张三 技术部
0002 李四 技术部
0003 王五 市场部
0004 赵六 市场部
而“郑七”和“工程部”的信息是不会检索出来。因为采用内连接计算的时候必须要保证连接的条件e.tid=d.tid匹配,结果才会被检索出来。当我们连接两张检索数据的时候,检索的方式是首先逐行扫描“员工信息表”中的记录,然后根据连接条件来决定此记录是否被检索。比如对于张三,这条记录的tid是01(部门编号),它在部门表中能找到和它匹配的编号01,而编号01的部门名称(tname)是“技术部”所以张三这条记录会被检索,最终的结果肯定是:
0001 张三 技术部
同样,李四、王五、赵六也能。但是郑七的部门编号是NULL,它在部门信息表中找不到匹配的项(因为部门信息表中不存在部门编号为NULL的部门),所以郑七不会被检索。
同理,没有任何人员的部门编号为03,所以工程部的记录也不会被检索
2、左外联结
但是有些情况下,我们需要知道所有员工的信息,即使他不属于任何部门。这样我们就可以采用外连接,在这里为左外连接,也就是连接中的左表的表中的记录,无论能不能在右表中找到匹配的项,都要检索,如果没有匹配的项目,那么右表中的字段值为NULL(空),在这里就代表,此员工不属于任何部门。
检索语句为:Select e.eid,e.ename,d.tname from eTB as e left outer join tTB as d on e.tid=d.tid
检索的结果都是:
eid ename tname
0001 张三 技术部
0002 李四 技术部
0003 王五 市场部
0004 赵六 市场部
0005 郑七 NULL
但是在这里,工程部同样不会被检索,因为,tname是在连接的右边的表中,“工程部”在左表中不存在任何的记录,所以不会被检索。这里关注的是“连接中的左边的表”
3、右外连接
有时,我们需要知道,全部部门的信息,即使它没有任何的员工。在我们的查询中部门表在连接的右边,如果我们想知道右边表中的所有记录信息,那么就可以采用右外连接,如果此记录在左边的表中找不到匹配项,则相应字段(eid,ename)为NULL
检索语句为:Select e.eid,e.ename,d.tname from eTB as e right outer join tTB as d on e.tid=d.tid
检索的结果都是:
eid ename tname
0001 张三 技术部
0002 李四 技术部
0003 王五 市场部
0004 赵六 市场部
NULL NULL 工程部
但在这里,郑七是不会被检索了,因为它在右表中找不到匹配项,这里关注的是“连接中的右边的表”
4、完全外连接
如果我们想知道所有的记录呢?无论员工有没有部门,部门有没有员工,我们都需要检索。这里就可以使用完全外连接。关注连接中的两部分。如果没有部门,部门为空,没有员工,员工信息为空。
检索语句为:Select e.eid,e.ename,d.tname from eTB as e full outer join tTB as d on e.tid=d.tid
检索的结果都是:
eid ename tname
0001 张三 技术部
0002 李四 技术部
0003 王五 市场部
0004 赵六 市场部
0005 郑七 NULL
NULL NULL 工程部
经常看到有新手来问如何接收传送的值
下面我来详细的说一下接收传送值的多种方式
获取传送值通常使用三种方式来获取
id=Request("id") '可以是post或get方式传送的值
id=Request.Form("id") '只能post方式传送的值
id=Request.Querystring("id") '只能get方式传送的值
从表单提交的方式传送的通常使用post方式传送
例如:
<form action="abc.asp" method="post">
<input type="text" name="Uname" />
<input type="text" name="Pass" />
<input type="submit" name="submit" value="提交" />
</form>
表单形式的提交通常 method属性值为post的,当然我们也可以改成 method="get",这样提交过去会自动在地址栏显示传送的值了,例如:http://bbs.bccn.net/abc.asp?Uname=hmhz&Pass=123456
多个参数传送用 & 符号分隔,格式如上
从地址栏传送的都为get方式传送
get传送形式上面已经写了,但get方式不一定非得使用表单来传送,我们可以使用超连接,或用JS传送均可以
例如:
<a href="abc.asp?id=<%=rs("id")%>">删除</a>
<a href="javascript:location.href='abc.asp?id=<%=rs("id")%>'>删除</a>
<a href="javascript:void(0);" onclick="location.href='abc.asp?id=<%=rs("id")%>'">删除</a>
如果一个页面很有可能会post方式提交来的参数,也有可能以get方式传送的,那我们可以使用第一种接收方式
id=Request("id")
就行了,如果这个值只有一种方式传送的,那最好使用对应的接收方式,因为这样接收效率才会提高,也在安全上加了道门槛
转载于: http://bbs.bccn.net/thread-217539-1-1.html