ASP也使用ORM,给ASP上所有的SQL注入画上句号

来源:asp之家 时间:2011-04-03 11:02:00 

一般写ASP PHP代码的朋友都估计是采用直接操作SQL的吧~
看以下的代码

<% 
dim conn,rs 
set conn=CreateObject("Adodb.Connection") 
conn.open .... 
set rs=conn.execute("select * from news"); 
... 
遍历 rs.... 
%> 
这样实现速度快是肯定的了,但是在结构逻辑上面1条半条语句当然不觉得怎样!语句多了问题也就来了!
参数没过滤啊,SQL存在注入啊等等~OK 现在我们来换个设计模型!
采用 3层结构 + ORM
ORM : OBJECT RELATION MAPPING
那什么是 ORM技术呢? 熟悉JAVA .NET开发的朋友一定很清楚...就是对象关系映射
把表映射为类 字段映射为属性 而记录则映射为对象...现在JAVA的ORM持久层框架N多
例如hibernate ibatis EntityBean(EJB其中一种)
那在ASP上面呢? 我们也一样可以实现.等等介绍
3层结构 : WEB展现层 中间层 持久层
以下有一个news 的表 简单一点的

create table news( 
id int, 
title varchar(200), 
contect varchar(50000) 
) 我们把他映射为类

<% 
Class News 
private id,title,contect 
Sub setID(sid) 
id=Cint(sid) 
End Sub 
Function getID 
getID=id 
End Function 
Sub setTitle(stitle) 
title=mid(stitle,1,200)'限制了长度 
End Sub 
.... 
End Class 
%> 然后我们再设计如何操作数据库转换为对象的代码

<% 
Class NewsDataAccessObject 
dim conn,rs,cmd 
'查询一篇新闻 
Function getNewsByID(id) 
set conn=Applcation("connection")'连接池里面获取一个连接 
set cmd=GetCmd() ' GETCMD函数实现 return createobject("Adodb.Command") 
selectString="select * from NEWS where id = @id" 
cmd.ActiveConnection = conn 
cmd.CommandType = adCmdText ' Const adCmdText=1 
cmd.CommandText = selectString 
'为刚刚的的@id追加参数,常量 adInteger = 3 adParamInput=1 
cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, , id) 
'运行SQL语句 返回结果集合 
set rs=cmd.execute() 
dim anews 
set anew=new News 
if rs.eof then 
else 
anew.setID(rs("id")&"") 
anew.setTitle(rs("title")&"") 
anew.setContect(rs("Contect")&"") 
end if 
rs.close 
set rs=nothing 
set cmd=nothing 
set conn=nothing 
set getNewsByID=anew 
End Function 
'插入一篇新闻 
Function addNews(anew) 
dim conn,cmd 
if isempty(anew) then addNews=false 
set conn=Applcation("connection")'连接池里面获取一个连接 
set cmd=GetCmd() ' GETCMD函数实现 return createobject("Adodb.Command") 
insertString="insert into NEWS(id,title,contect) values( @id , @title , @contect )" 
cmd.ActiveConnection = conn 
cmd.CommandType = adCmdText ' Const adCmdText=1 
cmd.CommandText = insertString 
'为刚刚的的@id @title @contect追加参数,常量 adInteger = 3 adParamInput=1 adVarWChar = 202 
cmd.Parameters.Append cmd.CreateParameter("@id", adInteger, adParamInput, , anew.getID() ) 
cmd.Parameters.Append cmd.CreateParameter("@title",adVarWChar, adParamInput, 200 , anew.getTitle() ) 
cmd.Parameters.Append cmd.CreateParameter("@contect",adVarWChar, adParamInput, 50000 , anew.getConect() ) 
'运行SQL语句 
cmd.execute() 
set cmd=nothing 
set conn=nothing 
addNews=true 
End Function 
Function findByTitle(stitle) 
.... 
End Function 
Function getPageNews(page,size) 
.... 
End Function 
End Class 
%> 以上就是对数据库操作然后把结果封装到对象里面 或者把对象写入数据库
这样实现虽然速度上面会稍慢 但是总体逻辑结构非常明显,不需要关心变量是否已经给过滤或者多过滤
而web页面层的设计人员更多的关注于界面方面
以下为提交添加新闻代码

<% 
dim id,title,contect,anew,dao 
id=Request("id") 
title=Request.Form("title") 
contect=Request.Form("contect") 
set anew=new NEWS 
anew.setID(id) 
anew.setTitle(title) 
anew.setContect(contect) 
set dao=new NewsDataAccessObject 
if dao.addNews(anew) then 
'response.write 
echo "success" 
else 
echo "error" 
end if 
%> 把新闻查出来显示

<% 
dim id,dao,anew 
id=Request("id") 
set dao=new NewsDataAccessObject 
set anew=dao.getNewsByID(id) 
if anew.getID()<>"" then 
%> 标题:<%=anew.getTitle()%>
内容:<%=anew.getContect()%>
.....
以上片段代码如有错漏谢谢指点~~~
使用这样的设计方式就根本不需要像XXXBLOG XXXBBS XXX文章系统那样
忘记Replace(SQL,"'","''") 而产生injection了!
对于页面的整洁性而言 也不会出现SQL语句,连接等 美工负责好自己的工作然后把对象的属性放到相应的位置就OK
而有可能有朋友会觉得 用户认证方面呢!那更省事了把用户表的用户对象放到session里面就OK

<% 
if isempty(session("user")) or session("user")="" then 
'跳转 
else 
set auser=session("user") 
echo "欢迎你:" & auser.getName() 
%>

标签:ASP,ORM,SQL注入
0
投稿

猜你喜欢

  • python的多线程原来可以这样解

    2021-02-22 16:12:18
  • 对Python中列表和数组的赋值,浅拷贝和深拷贝的实例讲解

    2023-06-04 19:17:50
  • MySQL数据库中对前端和后台进行系统优化

    2009-01-04 13:39:00
  • php购物车实现方法

    2023-11-16 22:54:51
  • 详解python 模拟豆瓣登录(豆瓣6.0)

    2022-06-29 22:20:00
  • window系统mysql无法输入和无法显示中文的解决方法

    2024-01-20 05:13:29
  • Python使用POP3和SMTP协议收发邮件的示例代码

    2023-10-03 15:37:28
  • Go语言中new()和 make()的区别详解

    2024-05-22 17:45:33
  • vue-loader和webpack项目配置及npm错误问题的解决

    2024-04-29 13:10:33
  • Vue中正确使用jQuery的方法

    2023-07-02 17:07:45
  • Python实现优先级队列结构的方法详解

    2022-06-15 20:59:33
  • mysql向mariadb平滑过渡的步骤详解

    2024-01-26 18:12:39
  • 一文搞懂Vue3中的异步组件defineAsyncComponentAPI的用法

    2024-04-29 13:09:08
  • MySQL 1303错误的解决方法(navicat)

    2024-01-25 21:24:42
  • 深入学习SQL Server聚合函数算法优化技巧

    2024-01-23 20:36:14
  • Python中最好用的命令行参数解析工具(argparse)

    2022-12-30 06:34:31
  • Python数据类型-序列sequence

    2022-06-07 11:03:56
  • asp中字符编码转换的10个函数[荐]

    2007-11-11 10:32:00
  • 如何用OpenCV -python3实现视频物体追踪

    2022-04-02 23:15:58
  • Python 中获取数组的子数组示例详解

    2022-11-04 19:26:26
  • asp之家 网络编程 m.aspxhome.com