PS:KJ大牛寫的文章,昨天跟一朋友聊天的時候提到了ADO的command查詢,我竟然把這個東西給忘記了,看來記性真的是太差了,找到了kj大牛的文章,拜讀一下。一般寫ASP PHP程式碼的朋友都估計是採用直接操作SQL的吧~
看以下的程式碼
<%
dim conn,rs
set conn=CreateObject(Adodb.Connection)
conn.open ....
set rs=conn.execute(select * from news);
……
遍歷rs....
%>
這樣實現速度快是肯定的了,但是在結構邏輯上面1條半條語句當然不覺得怎樣!語句多了問題就來了!
參數沒過濾啊,SQL存在註入啊等等~OK 現在我們來換個設計模型!
採用3層結構+ ORM
ORM : OBJECT RELATION MAPPING
那什麼是ORM技術呢? 熟悉JAVA .NET開發的朋友一定很清楚...就是物件關係映射
把表格映射為類別字段映射為屬性而記錄則映射為物件...現在JAVA的ORM持久層框架N多
例如hibernate ibatis EntityBean(EJB其中一種)
那在ASP上面呢? 我們也一樣可以實現.等等介紹
3層結構: WEB展現層中間層持久層
以下有一個news 的表簡單一點的
create table news(
id int,
title varchar(200),
contect varchar(50000)
)
我們把他映射為類別
<%
Class News
private id,title,contect
Sub setID(sid)
id=Cint(sid)
End Sub
Function getID
getID=id
End Function
Sub setTitle(stitle)
title=mid(stitle,1,200)'限制了長度
End Sub
....
End Class
%>
然後我們再設計如何操作資料庫轉換為物件的程式碼
<%
Class NewsDataAccessObject
dim conn,rs,cmd
'查詢一則新聞
Function getNewsByID(id)
set conn=Applcation(connection)'連接池裡面取得一個連接
set cmd=GetCmd() ' GETCMD函數實作return createobject(Adodb.Command)
selectString=select * from NEWS where id = @id
cmd.ActiveConnection = conn
cmd.CommandType = adCmdText ' Const adCmdText=1
cmd.CommandText = selectString
'為剛剛的的@id追加參數,常數adInteger = 3 adParamInput=1
cmd.Parameters.Append cmd.CreateParameter(@id, adInteger, adParamInput, , id)
'運行SQL語句傳回結果集合
set rs=cmd.execute()
dim anews
set anew=new News
if rs.eof then
else
anew.setID(rs(id)&)
anew.setTitle(rs(title)&)
anew.setContect(rs(Contect)&)
end if
rs.close
set rs=nothing
set cmd=nothing
set conn=nothing
set getNewsByID=anew
End Function
'插入一則新聞
Function addNews(anew)
dim conn,cmd
if isempty(anew) then addNews=false
set conn=Applcation(connection)'連接池裡面取得一個連接
set cmd=GetCmd() ' GETCMD函數實作return createobject(Adodb.Command)
insertString=insert into NEWS(id,title,contect) values( @id , @title , @contect )
cmd.ActiveConnection = conn
cmd.CommandType = adCmdText ' Const adCmdText=1
cmd.CommandText = insertString
'為剛剛的@id @title @contect追加參數,常數adInteger = 3 adParamInput=1 adVarWChar = 202
cmd.Parameters.Append cmd.CreateParameter(@id, adInteger, adParamInput, , anew.getID() )
cmd.Parameters.Append cmd.CreateParameter(@title,adVarWChar, adParamInput, 200 , anew.getTitle() )
cmd.Parameters.Append cmd.CreateParameter(@contect,adVarWChar, adParamInput, 50000 , anew.getConect() )
'運行SQL語句
cmd.execute()
set cmd=nothing
set conn=nothing
addNews=true
End Function
Function findByTitle(stitle)
....
End Function
Function getPageNews(page,size)
....
End Function
End Class
%>
以上就是對資料庫操作然後把結果封裝到物件裡面或是把物件寫入資料庫
這樣實現雖然速度上面會稍慢但是總體邏輯結構非常明顯,不需要關心變量是否已經給過濾或者多過濾
而web頁面層的設計人員則更多的關注於介面方面
以下為提交添加新聞代碼
<%
dim id,title,contect,anew,dao
id=Request(id)
title=Request.Form(title)
contect=Request.Form(contect)
set anew=new NEWS
anew.setID(id)
anew.setTitle(title)
anew.setContect(contect)
set dao=new NewsDataAccessObject
if dao.addNews(anew) then
'response.write
echo success
else
echo error
end if
%>
把新聞查出來顯示
<%
dim id,dao,anew
id=Request(id)
set dao=new NewsDataAccessObject
set anew=dao.getNewsByID(id)
if anew.getID()<> then
%>
標題:<%=anew.getTitle()%>
內容:<%=anew.getContect()%>
.....
以上片段程式碼如有錯漏謝謝指點~~~
使用這樣的設計方式就根本不需要像XXXBLOG XXXBBS XXX文章系統那樣
忘記Replace(SQL,','') 而產生injection了!
對於頁面的整潔性而言也不會出現SQL語句,連接等美工負責好自己的工作然後把對象的屬性放到相應的位置就OK
而有可能有朋友會覺得用戶認證方面呢!那更省事了把用戶表的用戶物件放到session裡面就OK
<%
if isempty(session(user)) or session(user)= then
'跳轉
else
set auser=session(user)
echo 歡迎你: & auser.getName()
%>