ASP也使用ORM,给ASP上所有的SQL注入画上句号
程序员文章站
2023-08-24 11:17:22
一般写asp php代码的朋友都估计是采用直接操作sql的吧~ 看以下的代码 <% dim conn,rs set conn=createobject("adodb....
一般写asp php代码的朋友都估计是采用直接操作sql的吧~
看以下的代码
<%
dim conn,rs
set conn=createobject("adodb.connection")
conn.open ....
set rs=conn.execute("select * from news");
...
遍历 rs....
%>
这样实现速度快是肯定的了,但是在结构逻辑上面1条半条语句当然不觉得怎样!语句多了问题也就来了!
参数没过滤啊,sql存在注入啊等等~ok 现在我们来换个设计模型!
采用 3层结构 + orm
orm : object relation mapping
那什么是 orm技术呢? 熟悉java .net开发的朋友一定很清楚...就是对象关系映射
把表映射为类 字段映射为属性 而记录则映射为对象...现在java的orm持久层框架n多
例如hibernate ibatis entitybean(ejb其中一种)
那在asp上面呢? 我们也一样可以实现.等等介绍
3层结构 : web展现层 中间层 持久层
以下有一个news 的表 简单一点的
create table news(
id int,
title varchar(200),
contect varchar(50000)
)
我们把他映射为类
<%
class news
private id,title,contect
sub setid(sid)
id=cint(sid)
end sub
function getid
getid=id
end function
sub settitle(stitle)
title=mid(stitle,1,200)'限制了长度
end sub
....
end class
%>
然后我们再设计如何操作数据库转换为对象的代码
<%
class newsdataaccessobject
dim conn,rs,cmd
'查询一篇新闻
function getnewsbyid(id)
set conn=applcation("connection")'连接池里面获取一个连接
set cmd=getcmd() ' getcmd函数实现 return createobject("adodb.command")
selectstring="select * from news where id = @id"
cmd.activeconnection = conn
cmd.commandtype = adcmdtext ' const adcmdtext=1
cmd.commandtext = selectstring
'为刚刚的的@id追加参数,常量 adinteger = 3 adparaminput=1
cmd.parameters.append cmd.createparameter("@id", adinteger, adparaminput, , id)
'运行sql语句 返回结果集合
set rs=cmd.execute()
dim anews
set anew=new news
if rs.eof then
else
anew.setid(rs("id")&"")
anew.settitle(rs("title")&"")
anew.setcontect(rs("contect")&"")
end if
rs.close
set rs=nothing
set cmd=nothing
set conn=nothing
set getnewsbyid=anew
end function
'插入一篇新闻
function addnews(anew)
dim conn,cmd
if isempty(anew) then addnews=false
set conn=applcation("connection")'连接池里面获取一个连接
set cmd=getcmd() ' getcmd函数实现 return createobject("adodb.command")
insertstring="insert into news(id,title,contect) values( @id , @title , @contect )"
cmd.activeconnection = conn
cmd.commandtype = adcmdtext ' const adcmdtext=1
cmd.commandtext = insertstring
'为刚刚的的@id @title @contect追加参数,常量 adinteger = 3 adparaminput=1 advarwchar = 202
cmd.parameters.append cmd.createparameter("@id", adinteger, adparaminput, , anew.getid() )
cmd.parameters.append cmd.createparameter("@title",advarwchar, adparaminput, 200 , anew.gettitle() )
cmd.parameters.append cmd.createparameter("@contect",advarwchar, adparaminput, 50000 , anew.getconect() )
'运行sql语句
cmd.execute()
set cmd=nothing
set conn=nothing
addnews=true
end function
function findbytitle(stitle)
....
end function
function getpagenews(page,size)
....
end function
end class
%>
以上就是对数据库操作然后把结果封装到对象里面 或者把对象写入数据库
这样实现虽然速度上面会稍慢 但是总体逻辑结构非常明显,不需要关心变量是否已经给过滤或者多过滤
而web页面层的设计人员更多的关注于界面方面
以下为提交添加新闻代码
<%
dim id,title,contect,anew,dao
id=request("id")
title=request.form("title")
contect=request.form("contect")
set anew=new news
anew.setid(id)
anew.settitle(title)
anew.setcontect(contect)
set dao=new newsdataaccessobject
if dao.addnews(anew) then
'response.write
echo "success"
else
echo "error"
end if
%>
把新闻查出来显示
<%
dim id,dao,anew
id=request("id")
set dao=new newsdataaccessobject
set anew=dao.getnewsbyid(id)
if anew.getid()<>"" then
%>
标题:<%=anew.gettitle()%>
内容:<%=anew.getcontect()%>
.....
以上片段代码如有错漏谢谢指点~~~
使用这样的设计方式就根本不需要像xxxblog xxxbbs xxx文章系统那样
忘记replace(sql,"'","''") 而产生injection了!
对于页面的整洁性而言 也不会出现sql语句,连接等 美工负责好自己的工作然后把对象的属性放到相应的位置就ok
而有可能有朋友会觉得 用户认证方面呢!那更省事了把用户表的用户对象放到session里面就ok
<%
if isempty(session("user")) or session("user")="" then
'跳转
else
set auser=session("user")
echo "欢迎你:" & auser.getname()
%>
看以下的代码
<%
dim conn,rs
set conn=createobject("adodb.connection")
conn.open ....
set rs=conn.execute("select * from news");
...
遍历 rs....
%>
这样实现速度快是肯定的了,但是在结构逻辑上面1条半条语句当然不觉得怎样!语句多了问题也就来了!
参数没过滤啊,sql存在注入啊等等~ok 现在我们来换个设计模型!
采用 3层结构 + orm
orm : object relation mapping
那什么是 orm技术呢? 熟悉java .net开发的朋友一定很清楚...就是对象关系映射
把表映射为类 字段映射为属性 而记录则映射为对象...现在java的orm持久层框架n多
例如hibernate ibatis entitybean(ejb其中一种)
那在asp上面呢? 我们也一样可以实现.等等介绍
3层结构 : web展现层 中间层 持久层
以下有一个news 的表 简单一点的
create table news(
id int,
title varchar(200),
contect varchar(50000)
)
我们把他映射为类
<%
class news
private id,title,contect
sub setid(sid)
id=cint(sid)
end sub
function getid
getid=id
end function
sub settitle(stitle)
title=mid(stitle,1,200)'限制了长度
end sub
....
end class
%>
然后我们再设计如何操作数据库转换为对象的代码
<%
class newsdataaccessobject
dim conn,rs,cmd
'查询一篇新闻
function getnewsbyid(id)
set conn=applcation("connection")'连接池里面获取一个连接
set cmd=getcmd() ' getcmd函数实现 return createobject("adodb.command")
selectstring="select * from news where id = @id"
cmd.activeconnection = conn
cmd.commandtype = adcmdtext ' const adcmdtext=1
cmd.commandtext = selectstring
'为刚刚的的@id追加参数,常量 adinteger = 3 adparaminput=1
cmd.parameters.append cmd.createparameter("@id", adinteger, adparaminput, , id)
'运行sql语句 返回结果集合
set rs=cmd.execute()
dim anews
set anew=new news
if rs.eof then
else
anew.setid(rs("id")&"")
anew.settitle(rs("title")&"")
anew.setcontect(rs("contect")&"")
end if
rs.close
set rs=nothing
set cmd=nothing
set conn=nothing
set getnewsbyid=anew
end function
'插入一篇新闻
function addnews(anew)
dim conn,cmd
if isempty(anew) then addnews=false
set conn=applcation("connection")'连接池里面获取一个连接
set cmd=getcmd() ' getcmd函数实现 return createobject("adodb.command")
insertstring="insert into news(id,title,contect) values( @id , @title , @contect )"
cmd.activeconnection = conn
cmd.commandtype = adcmdtext ' const adcmdtext=1
cmd.commandtext = insertstring
'为刚刚的的@id @title @contect追加参数,常量 adinteger = 3 adparaminput=1 advarwchar = 202
cmd.parameters.append cmd.createparameter("@id", adinteger, adparaminput, , anew.getid() )
cmd.parameters.append cmd.createparameter("@title",advarwchar, adparaminput, 200 , anew.gettitle() )
cmd.parameters.append cmd.createparameter("@contect",advarwchar, adparaminput, 50000 , anew.getconect() )
'运行sql语句
cmd.execute()
set cmd=nothing
set conn=nothing
addnews=true
end function
function findbytitle(stitle)
....
end function
function getpagenews(page,size)
....
end function
end class
%>
以上就是对数据库操作然后把结果封装到对象里面 或者把对象写入数据库
这样实现虽然速度上面会稍慢 但是总体逻辑结构非常明显,不需要关心变量是否已经给过滤或者多过滤
而web页面层的设计人员更多的关注于界面方面
以下为提交添加新闻代码
<%
dim id,title,contect,anew,dao
id=request("id")
title=request.form("title")
contect=request.form("contect")
set anew=new news
anew.setid(id)
anew.settitle(title)
anew.setcontect(contect)
set dao=new newsdataaccessobject
if dao.addnews(anew) then
'response.write
echo "success"
else
echo "error"
end if
%>
把新闻查出来显示
<%
dim id,dao,anew
id=request("id")
set dao=new newsdataaccessobject
set anew=dao.getnewsbyid(id)
if anew.getid()<>"" then
%>
标题:<%=anew.gettitle()%>
内容:<%=anew.getcontect()%>
.....
以上片段代码如有错漏谢谢指点~~~
使用这样的设计方式就根本不需要像xxxblog xxxbbs xxx文章系统那样
忘记replace(sql,"'","''") 而产生injection了!
对于页面的整洁性而言 也不会出现sql语句,连接等 美工负责好自己的工作然后把对象的属性放到相应的位置就ok
而有可能有朋友会觉得 用户认证方面呢!那更省事了把用户表的用户对象放到session里面就ok
<%
if isempty(session("user")) or session("user")="" then
'跳转
else
set auser=session("user")
echo "欢迎你:" & auser.getname()
%>