新手asp程式設計的基本法則一、新手常犯的錯誤
在論壇看到很多貼文程式碼中都有一個共同的基本錯誤,欄位類型錯誤。
程式和資料庫是緊密相連的,資料庫欄位文字型或時間型的都使用單引號
例如下面這段修改語句:
conn.execute update Counts set counts='&counts&' where num=&num& and Atime='&now()&'
等號左邊都是欄位名,等號右邊是傳值過來的變數名,counts 欄位是文字型,所以寫入時必須前後加單引號,無論是寫入或查詢都一樣,後面的查尋語句中, num 欄位是數位型,所以前後就沒有單引號了,Atime 欄位是時間型所以前後也要加單引號。
最重要的是以ID查詢,ID欄位是唯一的且數字類型,很明顯查詢ID號時前後也不能有單引號
conn.execute update Counts set counts='&counts&' where id='&id&' '錯誤寫法
conn.execute update Counts set counts='&counts&' where id=&id '正確寫法
二、ACCESS 資料庫連接
通常資料庫連接有兩種方式,新手基本上不知道用哪一種方式,或者在什麼情況下用哪一種,又或者不知道兩者的原理
①直接連接資料庫文件
Set conn = Server.CreateObject(ADODB.Connection)
conn.Open DRIVER={Microsoft Access Driver (*.mdb)}; DBQ=&Server.MapPath(database/yanhang.mdb)
②透過資料來源來連接資料庫文件
Set conn = Server.CreateObject(ADODB.Connection)
conn.Open Provider=Microsoft.Jet.OLEDB.4.0; Data Source=&Server.MapPath(database/yanhang.mdb)
那麼,兩者到底哪一個好呢,當然是第二種,因為第一種其實就是客戶端瀏覽器直接讀取資料庫的,所以安全方面差很多,第二種透過資料來源連接,是以伺服器數據來源工具連接的,與客戶端沒關係,所以資料庫不會暴露給客戶端,安全係數高很多。
ACCESS 資料庫對應程式的應用:①直接連接資料庫文件
conn.Open DRIVER={Microsoft Access Driver (*.mdb)}; DBQ=&Server.MapPath(database/yanhang.mdb)
這樣的資料庫連接方式,加入語句:
set rs=server.createobject(adodb.recordset) '(正確寫法)
rs.open select * from dndj,conn,1,3
rs.addnew
rs(bh) = bh
rs(bm) = bm
rs(xm) = xm
rs(xsq) = xsq
rs.update
rs.close
set rs=nothing
set rs=server.createobject(adodb.recordset) '(錯誤寫法)
sql=insert into dndj(bh,bm,xm,xsq) values('bh','bm','xm','xsq')
rs.open sql,conn,1,3
ACCESS 資料庫對應程式的應用:②透過資料來源來連接資料庫文件
conn.Open Provider=Microsoft.Jet.OLEDB.4.0; Data Source=&Server.MapPath(database/yanhang.mdb)
這樣的資料庫連接方式,加入語句:
conn.execute insert into dndj(bh,bm,xm,xsq) values('&bh&','&bm&','&xm&','&xsq&') '(正確寫法)
set rs=server.createobject(adodb.recordset) '(錯誤寫法)
sql=insert into dndj(bh,bm,xm,xsq) values('bh','bm','xm','xsq')
rs.open sql,conn,1,3
三、雙引號的應用
通常我們寫超級連線這樣<a href=abc.asp?id=<%=rs(id)%>>超級連線</a>
但要是把這個超級連線編譯進asp裡面呢
response.write <a href=abc.asp?id=&rs(id)&>超級連結</a> '(正確寫法)
response.write <a href='abc.asp?id=&rs(id)&'>超級連結</a> '(正確寫法)
response.write <a href=abc.asp?id=&rs(id)&>超級連結</a> '(正確寫法)
response.write <a href=abc.asp?id=<%=rs(id)%>>超級連線</a> '(錯誤寫法)
response.write <a href=abc.asp?id=&rs(id)&>超級連線</a> '(錯誤寫法)
表單編譯進asp裡<input type=text name=id value=<%rs(id)%> />
response.write <input type=text name=id value=&rs(id)& /> '(正確寫法) 注意:這裡有三個雙引號
response.write <input type='text' name='id' value='&rs(id)&' /> '(正確寫法)
response.write <input type=text name=id value=&rs(id)& /> '(正確寫法)
response.write <input type=text name=id value=<%=rs(id)%> /> '(錯誤寫法)
response.write <input type=text name=id value=&rs(id)& /> '(錯誤寫法)
新手asp程式設計的基本法則
四、防止ACCESS資料庫被下載的幾個方法
很多動態網站大量應用了資料庫,資料庫理所當然成了一個網站的核心檔案。一旦資料庫被非法下載,極有可能被惡意人士破壞網站。或竊取資料。
以下提供的方法分別適用使用虛擬主機空間的使用者和有IIS控制權的使用者!
一:購買虛擬主機空間的,適合沒有IIS控制權
1:發揮你的想像力修改資料庫檔名
這個是最基本的。我想現在也沒有多少連資料庫檔案名稱都懶得改的人吧? 至於改成什麼,你自己看著辦,至少要保證檔名複雜,不可猜測性。當然這時候你的資料庫所在目錄是不能開放目錄瀏覽權限的!
2:資料庫名稱後綴改為ASA、ASP等
這個聽說很流行,不過我測試了好多次,發現並不理想,如果真正要起到防止下載的作用,要進行一些二進製字段添加等設置,一句話,繁而復雜(如果你的數據庫有很多的話,這個方法實在不是很好)
3:資料庫名前加#
只要要把資料庫檔案前名加上#、然後修改資料庫連線檔案(如conn.asp)中的資料庫位址。原理是下載的時候只能辨識#號前名的部分,對於後面的自動去掉,例如你要下載:http://bbs.bccn.net/date/#123.mdb(假設存在的話)。無論是IE還是FLASHGET等下到的都是http://bbs.bccn.net/date/index.htm
另外在資料庫檔案名稱中保留一些空格也起到類似作用,由於HTTP協定對位址解析的特殊性,空格會被編碼為%20,如http://bbs.bccn.net/date/123 456.mdb
下載時http://bbs.bccn.net/date/123%20456.mdb。而我們的目錄就根本沒有123%20456.mdb這個文件,所以下載也是無效的,即使你暴露了資料庫地址,一般情況下別人也是無法下載,最好兩種方法同時使用#+空格,例如http: //bbs.bccn.net/date/#123 456.mdb
4:加密資料庫
用ACCESS將你的資料庫以獨佔方式開啟後,在工具-安全-設定資料庫密碼,加密後要修改資料庫連線頁, 如:
conn.open driver={microsoft access driver (*.mdb)};uid=admin;pwd=資料庫密碼;dbq=資料庫路徑
這樣修改後,資料庫即使被人下載了,別人也無法開啟(前提是你的資料庫連線頁中的密碼沒有被外洩)
但值得注意的是,由於Access資料庫的加密機制比較簡單,即使設定了密碼,解密也很容易。此資料庫系統透過將使用者輸入的密碼與某一固定金鑰進行異或來形成加密字串,並將其儲存在*.mdb檔案從位址&H42開始的區域內。所以一個好的程式設計師可以輕鬆製作一個幾十行的小程式就可以輕鬆地取得任何Access資料庫的密碼。因此,只要資料庫被下載,其安全性依然是個未知數。
二:有主機控制權(當然虛擬空間的設定在這裡還是可以用)
5:資料庫放在WEB目錄外
如你的WEB目錄是e:/webroot,可以把資料庫放到e:/data這個資料夾裡,在e:/webroot裡的資料庫連結頁中
修改資料庫連接位址為:../data/#123 456.mdb 的形式,這樣資料庫可以正常調用,但是無法下載的,因為它不在WEB目錄裡!這個方法一般也適合購買虛擬空間的使用者。
6:使用ODBC資料來源。
在ASP等程式設計中,如果有條件,應盡量使用ODBC資料來源,不要把資料庫名稱寫在程式中,否則,資料庫名稱會隨ASP原始碼的失密而一同失密
例如:
conn.open driver={Microsoft Access Driver (*.mdb)};dbq=&Server.MapPath(../123/abc/asfadf.mdb)
可見,即使資料庫名字起得再怪異,隱藏的目錄再深,ASP原始碼失密後,也很容易被下載下來。
如果使用ODBC資料來源,就不會存在這樣的問題了:conn.open ODBC-DSN名,不過這樣是比較煩的,目錄移動的話又要重新設定資料來源了!
7:新增資料庫名稱的如MDB的擴充映射
這個方法就是透過修改IIS設定來實現,適合有IIS控制權的朋友,不適合購買虛擬主機使用者(除非管理員已經設定了)。這個方法我認為是目前最好的。只要修改一處,整個網站的資料庫都可以防止被下載。無須修改程式碼即使暴露目標位址也可以防止下載。
設定:
在IIS屬性---主目錄---配置---映射---應用程式擴充那裡新增.mdb檔案的應用解析。注意這裡的選擇的DLL(或EXE等)似乎也不是任意的,選擇不當,這個MDB檔案還是可以被下載的, 注意最好不要選擇選擇asp.dll等。你可以自己多測試下
這樣修改後下載資料庫如:http://bbs.bccn.net/data/dvbbs6.mdb。就出現(404或500等錯誤)
8:使用.net的優越性
動網的木鳥就寫過一個防非法下載檔案的WBAL 防盜鏈工具。記得本論壇曾經也有位牛人也發表過資料庫防下載的插件,是.dll的載入到IIS裡的。
不過那個只實現了防止非本地下載的,沒有起到真正的防下載資料庫的功能。不過這個方法跟第5種差不多
可以透過修改.NET文件,實現本地也不能下載!
這幾個方法中,只有第7和8個是統一性改的,一次修改配置後,整個站點的數據庫都可以防止下載,其他幾個就要分別修改數據庫名和連接文件,比較麻煩,不過對於虛擬主機的朋友也只能這樣了!
其實第6種方法應該是第5種方法的擴展,可以實現特殊的功能,但對於不支援.net的主機或者怕設定麻煩的話,還是直接用第5種方法了,而且預設情況下第6種方法,依然可以透過複製連接到同主機的論壇或留言本發表,然後就可以點擊下載了(因為這樣的引用頁是來自同主機的)
這幾個方法各有長短,請自己選擇性使用。這些方法也不是絕對的安全,還需要網站管理員平常注意一些系統的安全,以及寫ASP程式碼本身的安全,否則依然有可能被人下載或修改資料庫!