ASP也使用ORM,给ASP上所有的SQL注入画上句号

[重要通告]如您遇疑难杂症,本站支持知识付费业务,扫右边二维码加博主微信,可节省您宝贵时间哦!

一般写ASP PHP代码的朋友都估计是采用直接操作SQL的吧~
看以下的代码
<% dim conn,rs set conn=CreateObject("Adodb.Connection") conn.open .... set rs=conn.execute("select * from news"); ... 遍历 rs.... %>

这样实现速度快是肯定的了,但是在结构逻辑上面1条半条语句当然不觉得怎样!语句多了问题也就来了!
参数没过滤啊,SQL存在注入啊等等~OK 现在我们来换个设计模型!
采用 3层结构 + orM
orM : OBJECT RELATION MAPPING
那什么是 orM技术呢? 熟悉JAVA .NET开发的朋友一定很清楚...就是对象关系映射
把表映射为类 字段映射为属性 而记录则映射为对象...现在JAVA的ORM持久层框架N多
例如hibernate ibatis EntityBean(EJB其中一种)

那在ASP上面呢? 我们也一样可以实现.等等介绍

3层结构 : WEB展现层 中间层 持久层

以下有一个news 的表 简单一点的
create table news(
id int,
title varchar(200),
contect varchar(50000)
)
我们把他映射为类
<% Class News private id,title,contect Sub setID(sid) id=Cint(sid) End Sub Function getID getID=id End Function Sub setTitle(stitle) title=mid(stitle,1,200)'限制了长度 End Sub .... End Class %>
然后我们再设计如何操作数据库转换为对象的代码
<% Class NewsDataAccessObject dim conn,rs,cmd '查询一篇新闻 Function getNewsByID(id) set conn=Applcation("connection")'连接池里面获取一个连接 set cmd=GetCmd() ' GETCMD函数实现 return createobject("Adodb.Command") selectString="select * from NEWS where id = @id" cmd.ActiveConnection = conn cmd.CommandType = adCmdText ' Const adCmdText=1 cmd.CommandText = selectString '为刚刚的的@id追加参数,常量 adInteger = 3 adParamInput=1 cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, , id) '运行SQL语句 返回结果集合 set rs=cmd.execute() dim anews set anew=new News if rs.eof then else anew.setID(rs("id")&"") anew.setTitle(rs("title")&"") anew.setContect(rs("Contect")&"") end if rs.close set rs=nothing set cmd=nothing set conn=nothing set getNewsByID=anew End Function '插入一篇新闻 Function addNews(anew) dim conn,cmd if isempty(anew) then addNews=false set conn=Applcation("connection")'连接池里面获取一个连接 set cmd=GetCmd() ' GETCMD函数实现 return createobject("Adodb.Command") insertString="insert into NEWS(id,title,contect) values( @id , @title , @contect )" cmd.ActiveConnection = conn cmd.CommandType = adCmdText ' Const adCmdText=1 cmd.CommandText = insertString '为刚刚的的@id @title @contect追加参数,常量 adInteger = 3 adParamInput=1 adVarWChar = 202 cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, , anew.getID() ) cmd.Parameters.Append cmd.CreateParameter("@title",adVarWChar, adParamInput, 200 , anew.getTitle() ) cmd.Parameters.Append cmd.CreateParameter("@contect",adVarWChar, adParamInput, 50000 , anew.getConect() ) '运行SQL语句 cmd.execute() set cmd=nothing set conn=nothing addNews=true End Function Function findByTitle(stitle) .... End Function Function getPageNews(page,size) .... End Function End Class %>
以上就是对数据库操作然后把结果封装到对象里面 或者把对象写入数据库
这样实现虽然速度上面会稍慢 但是总体逻辑结构非常明显,不需要关心变量是否已经给过滤或者多过滤
而web页面层的设计人员更多的关注于界面方面
以下为提交添加新闻代码
<% dim id,title,contect,anew,dao id=Request("id") title=Request.Form("title") contect=Request.Form("contect") set anew=new NEWS anew.setID(id) anew.setTitle(title) anew.setContect(contect) set dao=new NewsDataAccessObject if dao.addNews(anew) then 'response.write echo "success" else echo "error" end if %>
把新闻查出来显示
<% dim id,dao,anew id=Request("id") set dao=new NewsDataAccessObject set anew=dao.getNewsByID(id) if anew.getID()<>"" then
%>
标题:<%=anew.getTitle()%>
内容:<%=anew.getContect()%>

.....

以上片段代码如有错漏谢谢指点~~~
使用这样的设计方式就根本不需要像XXXBLOG XXXBBS XXX文章系统那样
忘记Replace(SQL,"'","''") 而产生injection了!
对于页面的整洁性而言 也不会出现SQL语句,连接等 美工负责好自己的工作然后把对象的属性放到相应的位置就OK
而有可能有朋友会觉得 用户认证方面呢!那更省事了把用户表的用户对象放到session里面就OK
<% if isempty(session("user")) or session("user")="" then '跳转 else set auser=session("user") echo "欢迎你:" & auser.getName() %>

问题未解决?付费解决问题加Q或微信 2589053300 (即Q号又微信号)右上方扫一扫可加博主微信

所写所说,是心之所感,思之所悟,行之所得;文当无敷衍,落笔求简洁。 以所舍,求所获;有所依,方所成!

支付宝赞助
微信赞助

免责声明,若由于商用引起版权纠纷,一切责任均由使用者承担。

您必须遵守我们的协议,如您下载该资源,行为将被视为对《免责声明》全部内容的认可->联系老梁投诉资源
LaoLiang.Net部分资源来自互联网收集,仅供用于学习和交流,请勿用于商业用途。如有侵权、不妥之处,请联系站长并出示版权证明以便删除。 敬请谅解! 侵权删帖/违法举报/投稿等事物联系邮箱:service@laoliang.net
意在交流学习,欢迎赞赏评论,如有谬误,请联系指正;转载请注明出处: » ASP也使用ORM,给ASP上所有的SQL注入画上句号

发表回复

本站承接,网站推广(SEM,SEO);软件安装与调试;服务器或网络推荐及配置;APP开发与维护;网站开发修改及维护; 各财务软件安装调试及注册服务(金蝶,用友,管家婆,速达,星宇等);同时也有客户管理系统,人力资源,超市POS,医药管理等;

立即查看 了解详情