好看的小说,辰东,欢乐颂第二季

主頁(yè) > 知識(shí)庫(kù) > ASP也使用ORM,給ASP上所有的SQL注入畫(huà)上句號(hào)

ASP也使用ORM,給ASP上所有的SQL注入畫(huà)上句號(hào)

一般寫(xiě)ASP PHP代碼的朋友都估計(jì)是采用直接操作SQL的吧~
看以下的代碼
%
dim conn,rs
set conn=CreateObject("Adodb.Connection")
conn.open ....
set rs=conn.execute("select * from news");
...
遍歷 rs....
%>
這樣實(shí)現(xiàn)速度快是肯定的了,但是在結(jié)構(gòu)邏輯上面1條半條語(yǔ)句當(dāng)然不覺(jué)得怎樣！語(yǔ)句多了問(wèn)題也就來(lái)了！
參數(shù)沒(méi)過(guò)濾啊,SQL存在注入啊等等~OK 現(xiàn)在我們來(lái)?yè)Q個(gè)設(shè)計(jì)模型！
采用 3層結(jié)構(gòu) + ORM
ORM : OBJECT RELATION MAPPING
那什么是 ORM技術(shù)呢？熟悉JAVA .NET開(kāi)發(fā)的朋友一定很清楚...就是對(duì)象關(guān)系映射
把表映射為類字段映射為屬性而記錄則映射為對(duì)象...現(xiàn)在JAVA的ORM持久層框架N多
例如hibernate ibatis EntityBean(EJB其中一種)
那在ASP上面呢？我們也一樣可以實(shí)現(xiàn).等等介紹
3層結(jié)構(gòu) : WEB展現(xiàn)層中間層持久層
以下有一個(gè)news 的表簡(jiǎn)單一點(diǎn)的
create table news(
id int,
title varchar(200),
contect varchar(50000)
)
我們把他映射為類
%
Class News
private id,title,contect
Sub setID(sid)
id=Cint(sid)
End Sub
Function getID
getID=id
End Function
Sub setTitle(stitle)
title=mid(stitle,1,200)'限制了長(zhǎng)度
End Sub
....
End Class
%>
然后我們?cè)僭O(shè)計(jì)如何操作數(shù)據(jù)庫(kù)轉(zhuǎn)換為對(duì)象的代碼
%
Class NewsDataAccessObject
dim conn,rs,cmd
'查詢一篇新聞
Function getNewsByID(id)
set conn=Applcation("connection")'連接池里面獲取一個(gè)連接
set cmd=GetCmd() ' GETCMD函數(shù)實(shí)現(xiàn) return createobject("Adodb.Command")
selectString="select * from NEWS where id = @id"
cmd.ActiveConnection = conn
cmd.CommandType = adCmdText ' Const adCmdText=1
cmd.CommandText = selectString
'為剛剛的的@id追加參數(shù),常量 adInteger = 3 adParamInput=1
cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, , id)
'運(yùn)行SQL語(yǔ)句返回結(jié)果集合
set rs=cmd.execute()
dim anews
set anew=new News
if rs.eof then
else
anew.setID(rs("id")"")
anew.setTitle(rs("title")"")
anew.setContect(rs("Contect")"")
end if
rs.close
set rs=nothing
set cmd=nothing
set conn=nothing
set getNewsByID=anew
End Function
'插入一篇新聞
Function addNews(anew)
dim conn,cmd
if isempty(anew) then addNews=false
set conn=Applcation("connection")'連接池里面獲取一個(gè)連接
set cmd=GetCmd() ' GETCMD函數(shù)實(shí)現(xiàn) return createobject("Adodb.Command")
insertString="insert into NEWS(id,title,contect) values( @id , @title , @contect )"
cmd.ActiveConnection = conn
cmd.CommandType = adCmdText ' Const adCmdText=1
cmd.CommandText = insertString
'為剛剛的的@id @title @contect追加參數(shù),常量 adInteger = 3 adParamInput=1 adVarWChar = 202
cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, , anew.getID() )
cmd.Parameters.Append cmd.CreateParameter("@title",adVarWChar, adParamInput, 200 , anew.getTitle() )
cmd.Parameters.Append cmd.CreateParameter("@contect",adVarWChar, adParamInput, 50000 , anew.getConect() )
'運(yùn)行SQL語(yǔ)句
cmd.execute()
set cmd=nothing
set conn=nothing
addNews=true
End Function
Function findByTitle(stitle)
....
End Function
Function getPageNews(page,size)
....
End Function
End Class
%>
以上就是對(duì)數(shù)據(jù)庫(kù)操作然后把結(jié)果封裝到對(duì)象里面或者把對(duì)象寫(xiě)入數(shù)據(jù)庫(kù)
這樣實(shí)現(xiàn)雖然速度上面會(huì)稍慢但是總體邏輯結(jié)構(gòu)非常明顯,不需要關(guān)心變量是否已經(jīng)給過(guò)濾或者多過(guò)濾
而web頁(yè)面層的設(shè)計(jì)人員更多的關(guān)注于界面方面
以下為提交添加新聞代碼
%
dim id,title,contect,anew,dao
id=Request("id")
title=Request.Form("title")
contect=Request.Form("contect")
set anew=new NEWS
anew.setID(id)
anew.setTitle(title)
anew.setContect(contect)
set dao=new NewsDataAccessObject
if dao.addNews(anew) then
'response.write
echo "success"
else
echo "error"
end if
%>
把新聞查出來(lái)顯示
%
dim id,dao,anew
id=Request("id")
set dao=new NewsDataAccessObject
set anew=dao.getNewsByID(id)
if anew.getID()>"" then
%>
標(biāo)題:%=anew.getTitle()%>
內(nèi)容:%=anew.getContect()%>
.....
以上片段代碼如有錯(cuò)漏謝謝指點(diǎn)~~~
使用這樣的設(shè)計(jì)方式就根本不需要像XXXBLOG XXXBBS XXX文章系統(tǒng)那樣
忘記Replace(SQL,"'","''") 而產(chǎn)生injection了！
對(duì)于頁(yè)面的整潔性而言也不會(huì)出現(xiàn)SQL語(yǔ)句,連接等美工負(fù)責(zé)好自己的工作然后把對(duì)象的屬性放到相應(yīng)的位置就OK
而有可能有朋友會(huì)覺(jué)得用戶認(rèn)證方面呢！那更省事了把用戶表的用戶對(duì)象放到session里面就OK
%
if isempty(session("user")) or session("user")="" then
'跳轉(zhuǎn)
else
set auser=session("user")
echo "歡迎你:" auser.getName()
%>

標(biāo)簽：巴彥淖爾鷹潭通遼普洱雅安運(yùn)城通化荊門

巨人網(wǎng)絡(luò)通訊聲明：本文標(biāo)題《ASP也使用ORM,給ASP上所有的SQL注入畫(huà)上句號(hào)》，本文關(guān)鍵詞 ASP,也,使用,ORM,給,上,所,；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題，煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們，我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無(wú)關(guān)。