新手asp编程的基本法则.docx

新手asp编程的基本法则 一、新手常犯的错误在论坛看到很多帖子代码中都有一个共同的基本错误，字段类型错误。程序和数据库是紧紧相连的，数据库字段文本型或时间型的都使用单引号比如下面这段修改语句：conn.execute update Counts set counts=&counts& where num=&num& and Atime=&now()&等号左边都是字段名，等号右边是传值过来的变量名，counts 字段是文本型，所以写入时必须前后加单引号，无论是写入还是查询都一样，后面的查寻语句中，num 字段是数字型，所以前后就没有单引号了，Atime 字段是时间型所以前后也要加单引号。最重要的是以ID查询，ID字段是唯一的并且数字类型，很明显查询ID号时前后也不能有单引号conn.execute update Counts set counts=&counts& where id=&id&错误写法conn.execute update Counts set counts=&counts& where id=&id正确写法二、ACCESS 数据库连接通常数据库连接有两种方式，新手基本不知道用哪一种方式，或者在什么情况下用哪一种，又或者不知道两者的原理直接连接数据库文件Set conn = Server.CreateObject(ADODB.Connection)conn.Open DRIVER=Microsoft Access Driver (*.mdb); DBQ=&Server.MapPath(database/yanhang.mdb)通过数据源来连接数据库文件Set conn = Server.CreateObject(ADODB.Connection)conn.Open Provider=Microsoft.Jet.OLEDB.4.0; Data Source=&Server.MapPath(database/yanhang.mdb)那么，两者到底哪一个好呢，当然是第二种，因为第一种其实就是客户端浏览器直接读取数据库的，所以安全方面差很多，第二种通过数据源连接，是以服务器数据源工具连接的，与客户端没关系，所以数据库不会暴露给客户端，安全系数高很多。ACCESS 数据库对应程序的应用：直接连接数据库文件conn.Open DRIVER=Microsoft Access Driver (*.mdb); DBQ=&Server.MapPath(database/yanhang.mdb)这样的数据库连接方式，添加语句：set rs=server.createobject(adodb.recordset)(正确写法)rs.open select * from dndj,conn,1,3rs.addnewrs(bh) = bhrs(bm) = bmrs(xm) = xmrs(xsq) = xsqrs.updaters.closeset rs=nothingset rs=server.createobject(adodb.recordset)(错误写法)sql=insert into dndj(bh,bm,xm,xsq) values(bh,bm,xm,xsq)rs.open sql,conn,1,3ACCESS 数据库对应程序的应用：通过数据源来连接数据库文件conn.Open Provider=Microsoft.Jet.OLEDB.4.0; Data Source=&Server.MapPath(database/yanhang.mdb)这样的数据库连接方式，添加语句：conn.execute insert into dndj(bh,bm,xm,xsq) values(&bh&,&bm&,&xm&,&xsq&) (正确写法)set rs=server.createobject(adodb.recordset)(错误写法)sql=insert into dndj(bh,bm,xm,xsq) values(bh,bm,xm,xsq)rs.open sql,conn,1,3三、双引号的应用通常我们写超级连接这样 a href=abc.asp?id=超级连接但要是把这个超级连接编译进asp里面呢response.write 超级连接(正确写法)response.write 超级连接 (正确写法)response.write 超级连接(正确写法)response.write a href=abc.asp?id=超级连接(错误写法)response.write 超级连接 (错误写法)表单编译进asp里input type=text name=id value= /response.write (正确写法) 注意：这里有三个双引号response.write (正确写法)response.write (正确写法)response.write input type=text name=id value= /(错误写法)response.write (错误写法)四、防止ACCESS数据库被下载的几个方法很多动态站点大量应用了数据库，数据库理所当然成了一个站点的核心文件。一旦数据库被非法下载，极有可能被恶意人士破坏网站。或者窃取资料。下面提供的方法分别适用使用虚拟主机空间的用户和有IIS控制权的用户！ 一：购买虚拟主机空间的，适合没有IIS控制权1：发挥你的想象力 修改数据库文件名这个是最基本的。我想现在也没有多少连数据库文件名都懒得改的人吧？ 至于改成什么，你自己看着办，至少要保证文件名复杂，不可猜测性。当然这个时候你的数据库所在目录是不能开放目录浏览权限的！2：数据库名后缀改为ASA、ASP等这个听说很流行，不过我测试了好多次，发现并不理想，如果真正要起到防止下载的作用，要进行一些二进制字段添加等设置，一句话，繁而复杂（如果你的数据库有很多的话，这个方法实在不是很好）3：数据库名前加“#”只需要把数据库文件前名加上#、然后修改数据库连接文件（如conn.asp）中的数据库地址。原理是下载的时候只能识别 #号前名的部分，对于后面的自动去掉，比如你要下载：/date/#123.mdb (假设存在的话）。无论是IE还是FLASHGET等下到的都是 /date/index.htm今天来看到57楼的兄弟说前面加“#”根本就是垃圾，后来测试了下使用%23的确能下载:/date/color=red%23123.mdb后来我研究了下，中间加空格的浏览器自动编译成 %20 也是能够下载的最后索性都不用，我就使用#+空格的编译码 %23%20.mdb 作为数据库名字/date/%23%20.mdb经过测试，使用迅雷和普通的下载工具都不能下载/color4：加密数据库用ACCESS将你的数据库以独占方式打开后，在工具-安全-设置数据库密码，加密后要修改数据库连接页， 如：conn.open driver=microsoft access driver (*.mdb);uid=admin;pwd=数据库密码;dbq=数据库路径这样修改后，数据库即使被人下载了，别人也无法打开（前提是你的数据库连接页中的密码没有被泄露）但值得注意的是，由于Access数据库的加密机制比较简单，即使设置了密码，解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串，并将其存储在*.mdb文件从地址“&H42”开始的区域内。所以一个好的程序员可以轻松制作一个几十行的小程序就可以轻松地获得任何Access数据库的密码。因此，只要数据库被下载，其安全依然是个未知数。 二：有主机控制权 （当然虚拟空间的设置在这里依然可以用）5:数据库放在WEB目录外如你的WEB目录是e:webroot，可以把数据库放到e:data这个文件夹里，在e:webroot里的数据库连接页中修改数据库连接地址为：./data/#123 456.mdb 的形式，这样数据库可以正常调用，但是无法下载的，因为它不在WEB目录里！这个方法一般也适合购买虚拟空间的用户。6:使用ODBC数据源。在ASP等程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随ASP源代码的失密而一同失密例如：conn.open driver=Microsoft Access Driver (*.mdb);dbq=&Server.MapPath(./123/abc/asfadf.mdb)可见，即使数据库名字起得再怪异，隐藏的目录再深，ASP源代码失密后，也很容易被下载下来。如果使用ODBC数据源，就不会存在这样的问题了：conn.open ODBC-DSN名 ,不过这样是比较烦的，目录移动的话又要重新设置数据源了！7：添加数据库名的如MDB的扩展映射这个方法就是通过修改IIS设置来实现，适合有IIS控制权的朋友，不适合购买虚拟主机用户(除非管理员已经设置了）。这个方法我认为是目前最好的。只要修改一处，整个站点的数据库都可以防止被下载。无须修改代码即使暴露目标地址也可以防止下载。设置：在 IIS属性-主目录-配置-映射-应用程序扩展那里添加.mdb文件的应用解析。注意这里的选择的DLL（或EXE等）似乎也不是任意的，选择不当，这个MDB文件还是可以被下载的，注意最好不要选择选择asp.dll等。你可以自己多测试下这样修改后下载数据库如：/data/dvbbs6.mdb。就出现（404或500等错误）8：使用.net的优越性动网的木鸟就写过一个防非法下载文件的“WBAL 防盗链工具”。记得本论坛曾经也有位牛人也发表过数据库防下载的插件，是.dll的加载到IIS里的。不过 那个只实现了防止非本地下载的 ，没有起到真正的防下载数据库的功能。不过这个方法跟第5种差不多可以通过修改.NET文件，实现本地也不能下载！这几个方法中，只有第7和8个是统一性改的，一次修改配置后，整个站点的数据库都可以防止下载，其他几个就要分别修改数据库名和连接文件，比较麻烦，不过对于虚拟主机的朋友也只能这样了！其实第6种方法应该是第5种方法的扩展，可以实现特殊的功能，但对于不支持.net的主机或者怕设置麻烦的话，还是直接用第5种方法了，而且默认情况下第6种方法，依然可以通过复制连接到同主机的论坛或留言本发表，然后就可以点击下载了（因为这样的引用页是来自同主机的）这几个方法各有长短，请自己选择性地使用。这些方法也不是绝对的安全，还需要网站管理员平时注意一些系统的安全，以及写ASP代码本身的安全 ，否则依然有可能被人下载或者修改数据库！字符串截取的四个函数一、如果只截取前几位，使用left二、如果只截取后几位，使用right三、如果只截取中间几位，使用mid四、分隔符截取，使用split一、left 截取前3位：得到 ABC二、right 截取后3位,得到 FGH三、mid 截取中间3位，得到 DEF四、split 截取分隔符前后的内容，得到 AB CD EF GH%dd=AB|CD|EF|GHresponse.write split(dd,|)(0)得到内容是 ABresponse.write split(dd,|)(1)得到内容是 CDresponse.write split(dd,|)(2)得到内容是 EFresponse.write split(dd,|)(3)得到内容是 GH可以写成循环语句来将分隔符左右的内容一一显示出来for i=0 to 3 response.write split(dd,|)(i)&next单独调用指定分隔符位置的内容dim dm(3)定义一个循环变量for i=0 to 3 dm(i)=split(dd,|)(i)nextresponse.write dm(0)得到内容是 ABresponse.write dm(1)得到内容是 CDresponse.write dm(2)得到内容是 EFresponse.write dm(3)得到内容是 GH如果不确定 dd 里有多少个分隔符，使用循环参数的时候 to 后面的数字就不能直接写了，需要统计分隔符的数量for i=0 to UBound(split(dd,|) dm(i)=split(dd,|)(i)next%今天来说说SQL数据库的连接方式：SQL2000数据库本地连接Set conn=Server.CreateObject(ADODB.Connection)conn.open provider=sqloledb;server=(local);database=数据库名;uid=用户名;pwd=密码;SQL2000数据库远程连接Set conn=Server.CreateObject(ADODB.Connection)conn.open provider=sqloledb;server=00,1433;database=数据库名;uid=用户名;pwd=密码;SQL2005数据库本地连接Set conn=Server.CreateObject(ADODB.Connection)conn.open provider=SQLNCLI;server=(local);database=数据库名;uid=用户名;pwd=密码;SQL2005数据库远程连接Set conn=Server.CreateObject(ADODB.Connection)conn.open driver=sql server;server=00,1433;database=数据库名;uid=用户名;pwd=密码;今天来写一下ASP入门与解说无论是哪种编程语言不外乎就这几种功能1.读取2.添加3.修改4.删除5.查询6.统计只要将这几种功能运用自如，那么，你就已经会这门语言了首先我们谈谈数据库：一般ASP使用 ACCESS 和 SQL 数据库初学者最好先使用 ACCESS 数据库，装个 OFFIEC 就已经自带 ACCESS 数据库了ACCESS 版本从 ACCESS98 ACCESS2000 ACCESS2003 ACCESS2007安装什么版本的 OFFIEC 就是什么版本的 ACCESSSQL数据库是微软的产品，目前一般使用的SQL数据库为 SQL2000 SQL2005ASP读取数据:瞧，读取数据就这么简单ASP添加新数据：第一种添加方式代码：这种添加方式适合ACCESS和SQL数据库的任何方式连接下面这个添加语句只适合ACCESS的第种连接方式，同时也适合SQL数据库任何方式连接第二种添加方式代码：上面这段添加语句唯一不支持ACCESS第种数据库连接方式瞧，添加数据我们也学会了ASP修改数据:ASP修改数据多数用在查询指定的数据然后去修改那条数据第一种修改方式代码：瞧，修改与添加不同的是少了个rs.addnew，多了个查询条件，其它完全相同第二种修改方式代码：上面这段修改代码和上面的添加一样唯一不支持ACCESS第种数据库连接方式ASP删除数据：删除数据也用到查询，如果没有查询，那就是将整个表中的所有内容全部删除了，如果你只需要删除其中一条，那就必须使用查询条件如果是ACCESS数据库就要加上from,例如:瞧，这个删除语句就这么简短，它和上面读取，添加，修改语句有所不同如果你的数据库连接使用的是ACCESS第种方式或者使用的是SQL数据，那么添加,修改,删除用起来就很简单了，像下面这样添加：conn.execute insert into 表名(字段1,字段2) values(123456,123456)修改：conn.execute update 表名 set 字段1=123456,字段2=123456 where id=10删除：conn.execute delete 表名 where id=10看起来是不是很清爽记住，在读取，添加，修改，删除，这四个功能之中只有添加不能带有查询条件，其他三个根据自己的需要可以带查询条件一、查询条件可以多个条件例如：conn.execute delete 表名 where 字段1=123456 and 字段2=123456 and id=10 之间用and隔开，and前后一定要空格意思是这三个条件必须同时满足才能查询出你想要的结果二、查询条件可以使用or或者的意思例如：conn.execute delete 表名 where 字段1=123456 or 字段2=123456 or id=10 之间用or隔开，or前后一定要空格意思是只要查询的条件满足其中之一就能查询出你想要的结果三、查询条件还可以使用and和or同时使用例如：conn.execute delete 表名 where (字段1=123456 or 字段2=123456) and id=10 意思是只要查询条件满足 字段1 或者 字段2 中的一条，并且id等于10的条件，注意：括号要括起来以上三种查询条件适合读取，修改，删除三个功能统计使用函数sum,recordcount统计价格：sum统计总数量：recordcount代码是死的，人的大脑是灵活的，就要看你如何去灵活运用吧！下面我们来说说字段为空的判断：字段为空有两种，一种是默认值设置为字符的比如SQL数据库字段默认值可以填写 N另一种默认值为空的，字段显示内容为 null 的平时我们查询判断字段为空的把两种空都写上查询所有为空的字段:查询所有不为空的字段:%Set rs=Server.CreateObject(ADODB.Recordset)rs.open Select * from 表名 where abc or is abc not null,conn,1,1%那么在读取字段的时候判断是否为空的：%if isnull(rs(字段名)=true or rs(字段名)= then true表示为空else false表示不为空end ifif rs(字段名) is null or rs(字段名)= then 表示为空else 表示不为空end ifif not rs(字段名) isnull or rs(字段名) then 表示不为空else 表示为空end if%数据库多表连接查询学习数据库查询的时候对多表连接查询的有些概念还比较模糊。而连接查询是在数据库查询操作的时候肯定要用到的。对于此概念，我用通俗一些的语言和例子来进行讲解。首先我们做两张表：员工信息表和部门信息表，在此，表的建立只为讲述连接的概念，所以字段非常的简单 eTB（员工信息表）：eidename tid 0001张三01 0002李四01 0003王五02 0004赵六02 0005郑七NULL tTB（部门信息表） tid tname 01技术部 02市场部 03工程部 我们现在需要进行连接查询，连接两张表检索数据。分别检索员工信息表的员工编号、员工姓名和部门信息表中的部门名称。 显然，两个表的连接条件是 员工表的部门编号=部门表的部门编号 注意：郑七不属于任何部门（新来的员工，还没有分配到任何的部门），而工程部不存在任何的员工（比如是一个新成立的部门，还没有员工） 1、内连接查询我们可以有两种方式，这两种是等效的 一种是：Select e.eid,e.ename,d.tname from eTB as e,tTB as d where e.tid=d.tid二种是：Select e.eid,e.ename,d.tname from eTB as e inner join tTB as d on e.tid=d.tid检索的结果都是：eidename tname 0001张三技术部 0002李四技术部 0003王五市场部 0004赵六市场部 而“郑七”和“工程部”的信息是不会检索出来。因为采用内连接计算的时候必须要保证连接的条件e.tid=d.tid匹配，结果才会被检索出来。当我们连接两张检索数据的时候，检索的方式是首先逐行扫描“员工信息表”中的记录，然后根据连接条件来决定此记录是否被检索。比如对于张三，这条记录的tid是01（部门编号），它在部门表中能找到和它匹配的编号01，而编号01的部门名称（tname）是“技术部”所以张三这条记录会被检索，最终的结果肯定是： 0001张三技术部 同样，李四、王五、赵六也能。但是郑七的部门编号是NULL，它在部门信息表中找不到匹配的项（因为部门信息表中不存在部门编号为NULL的部门），所以郑七不会被检索。 同理，没有任何人员的部门编号为03，所以工程部的记录也不会被检索 2、左外联结但是有些情况下，我们需要知道所有员工的信息，即使他不属于任何部门。这样我们就可以采用外连接，在这里为左外连接，也就是连接中的左表的表中的记录，无论能不能在右表中找到匹配的项，都要检索，如果没有匹配的项目，那么右表中的字段值为NULL（空），在这里就代表，此员工不属于任何部门。 检索语句为：Select e.eid,e.ename,d.tname from eTB as e left outer join tTB as d on e.tid=d.tid检索的结果都是：eidename tname 0001张三技术部 0002李四技术部 0003王五市场部 0004赵六市场部 0005郑七NULL 但是在这里，工程部同样不会被检索，因为，tname是在连接的右边的表中，“工程部”在左表中不存在任何的记录，所以不会被检索。这里关注的是“连接中的左边的表” 3、右外连接有时，我们需要知道，全部部门的信息，即使它没有任何的员工。在我们的查询中部门表在连接的右边，如果我们想知道右边表中的所有记录信息，那么就可以采用右外连接，如果此记录在左边的表中找不到匹配项，则相应字段（eid,ename)为NULL 检索语句为：Select e.eid,e.ename,d.tname from eTB as e right outer join tTB as d on e.tid=d.tid检索的结果都是：eiden