老梁(蛤蟆哥)運(yùn)維技術(shù)發(fā)表于:

ASP也使用ORM,給ASP上所有的SQL注入畫上句號(hào)

[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!

一般寫ASP PHP代碼的朋友都估計(jì)是采用直接操作SQL的吧~
看以下的代碼
<% dim conn,rs set conn=CreateObject("Adodb.Connection") conn.open .... set rs=conn.execute("select * from news"); ... 遍歷 rs.... %>

這樣實(shí)現(xiàn)速度快是肯定的了,但是在結(jié)構(gòu)邏輯上面1條半條語句當(dāng)然不覺得怎樣!語句多了問題也就來了!
參數(shù)沒過濾啊,SQL存在注入啊等等~OK 現(xiàn)在我們來換個(gè)設(shè)計(jì)模型!
采用 3層結(jié)構(gòu) + orM
orM : OBJECT RELATION MAPPING
那什么是 orM技術(shù)呢? 熟悉JAVA .NET開發(fā)的朋友一定很清楚...就是對(duì)象關(guān)系映射
把表映射為類 字段映射為屬性 而記錄則映射為對(duì)象...現(xiàn)在JAVA的ORM持久層框架N多
例如hibernate ibatis EntityBean(EJB其中一種)

那在ASP上面呢? 我們也一樣可以實(shí)現(xiàn).等等介紹

3層結(jié)構(gòu) : WEB展現(xiàn)層 中間層 持久層

以下有一個(gè)news 的表 簡(jiǎn)單一點(diǎn)的
create table news(
id int,
title varchar(200),
contect varchar(50000)
)
我們把他映射為類
<% Class News private id,title,contect Sub setID(sid) id=Cint(sid) End Sub Function getID getID=id End Function Sub setTitle(stitle) title=mid(stitle,1,200)'限制了長(zhǎng)度 End Sub .... End Class %>
然后我們?cè)僭O(shè)計(jì)如何操作數(shù)據(jù)庫(kù)轉(zhuǎn)換為對(duì)象的代碼
<% Class NewsDataAccessObject dim conn,rs,cmd '查詢一篇新聞 Function getNewsByID(id) set conn=Applcation("connection")'連接池里面獲取一個(gè)連接 set cmd=GetCmd() ' GETCMD函數(shù)實(shí)現(xiàn) return createobject("Adodb.Command") selectString="select * from NEWS where id = @id" cmd.ActiveConnection = conn cmd.CommandType = adCmdText ' Const adCmdText=1 cmd.CommandText = selectString '為剛剛的的@id追加參數(shù),常量 adInteger = 3 adParamInput=1 cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, , id) '運(yùn)行SQL語句 返回結(jié)果集合 set rs=cmd.execute() dim anews set anew=new News if rs.eof then else anew.setID(rs("id")&"") anew.setTitle(rs("title")&"") anew.setContect(rs("Contect")&"") end if rs.close set rs=nothing set cmd=nothing set conn=nothing set getNewsByID=anew End Function '插入一篇新聞 Function addNews(anew) dim conn,cmd if isempty(anew) then addNews=false set conn=Applcation("connection")'連接池里面獲取一個(gè)連接 set cmd=GetCmd() ' GETCMD函數(shù)實(shí)現(xiàn) return createobject("Adodb.Command") insertString="insert into NEWS(id,title,contect) values( @id , @title , @contect )" cmd.ActiveConnection = conn cmd.CommandType = adCmdText ' Const adCmdText=1 cmd.CommandText = insertString '為剛剛的的@id @title @contect追加參數(shù),常量 adInteger = 3 adParamInput=1 adVarWChar = 202 cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, , anew.getID() ) cmd.Parameters.Append cmd.CreateParameter("@title",adVarWChar, adParamInput, 200 , anew.getTitle() ) cmd.Parameters.Append cmd.CreateParameter("@contect",adVarWChar, adParamInput, 50000 , anew.getConect() ) '運(yùn)行SQL語句 cmd.execute() set cmd=nothing set conn=nothing addNews=true End Function Function findByTitle(stitle) .... End Function Function getPageNews(page,size) .... End Function End Class %>
以上就是對(duì)數(shù)據(jù)庫(kù)操作然后把結(jié)果封裝到對(duì)象里面 或者把對(duì)象寫入數(shù)據(jù)庫(kù)
這樣實(shí)現(xiàn)雖然速度上面會(huì)稍慢 但是總體邏輯結(jié)構(gòu)非常明顯,不需要關(guān)心變量是否已經(jīng)給過濾或者多過濾
而web頁面層的設(shè)計(jì)人員更多的關(guān)注于界面方面
以下為提交添加新聞代碼
<% dim id,title,contect,anew,dao id=Request("id") title=Request.Form("title") contect=Request.Form("contect") set anew=new NEWS anew.setID(id) anew.setTitle(title) anew.setContect(contect) set dao=new NewsDataAccessObject if dao.addNews(anew) then 'response.write echo "success" else echo "error" end if %>
把新聞查出來顯示
<% dim id,dao,anew id=Request("id") set dao=new NewsDataAccessObject set anew=dao.getNewsByID(id) if anew.getID()<>"" then
%>
標(biāo)題:<%=anew.getTitle()%>
內(nèi)容:<%=anew.getContect()%>

.....

以上片段代碼如有錯(cuò)漏謝謝指點(diǎn)~~~
使用這樣的設(shè)計(jì)方式就根本不需要像XXXBLOG XXXBBS XXX文章系統(tǒng)那樣
忘記Replace(SQL,"'","''") 而產(chǎn)生injection了!
對(duì)于頁面的整潔性而言 也不會(huì)出現(xiàn)SQL語句,連接等 美工負(fù)責(zé)好自己的工作然后把對(duì)象的屬性放到相應(yīng)的位置就OK
而有可能有朋友會(huì)覺得 用戶認(rèn)證方面呢!那更省事了把用戶表的用戶對(duì)象放到session里面就OK
<% if isempty(session("user")) or session("user")="" then '跳轉(zhuǎn) else set auser=session("user") echo "歡迎你:" & auser.getName() %>

問題未解決?付費(fèi)解決問題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信

所寫所說,是心之所感,思之所悟,行之所得;文當(dāng)無敷衍,落筆求簡(jiǎn)潔。 以所舍,求所獲;有所依,方所成!

支付寶贊助
微信贊助

免責(zé)聲明,若由于商用引起版權(quán)糾紛,一切責(zé)任均由使用者承擔(dān)。

您必須遵守我們的協(xié)議,如您下載該資源,行為將被視為對(duì)《免責(zé)聲明》全部?jī)?nèi)容的認(rèn)可->聯(lián)系老梁投訴資源
LaoLiang.Net部分資源來自互聯(lián)網(wǎng)收集,僅供用于學(xué)習(xí)和交流,請(qǐng)勿用于商業(yè)用途。如有侵權(quán)、不妥之處,請(qǐng)聯(lián)系站長(zhǎng)并出示版權(quán)證明以便刪除。 敬請(qǐng)諒解! 侵權(quán)刪帖/違法舉報(bào)/投稿等事物聯(lián)系郵箱:service@laoliang.net
意在交流學(xué)習(xí),歡迎贊賞評(píng)論,如有謬誤,請(qǐng)聯(lián)系指正;轉(zhuǎn)載請(qǐng)注明出處: » ASP也使用ORM,給ASP上所有的SQL注入畫上句號(hào)

發(fā)表回復(fù)

本站承接,網(wǎng)站推廣(SEM,SEO);軟件安裝與調(diào)試;服務(wù)器或網(wǎng)絡(luò)推薦及配置;APP開發(fā)與維護(hù);網(wǎng)站開發(fā)修改及維護(hù); 各財(cái)務(wù)軟件安裝調(diào)試及注冊(cè)服務(wù)(金蝶,用友,管家婆,速達(dá),星宇等);同時(shí)也有客戶管理系統(tǒng),人力資源,超市POS,醫(yī)藥管理等;

立即查看 了解詳情