ASP编程：再谈ASP避免SQL Injection毛病的成绩

缺乏可以共同遵循的行业标准，ASP还处在发展初期，大家对它的理解不同，如产品和服务标准，收费标准等，不利于行业的健康发展。成绩再谈ASP避免SQLInjection毛病的成绩


/**
慈勤强
Email：cqq1978@Gmail.com
*/


关于Asp的SQLInjection防备成绩，仿佛已没甚么可说的了。在我做的Asp的项目内里，

都是用本人写的函数来处置客户端提交出去的数据，我的Blog内里也贴过这个函数。


详细能够参考http://blog.csdn.net/cqq/archive/2004/09/23/113786.aspx



不外，从伴侣的留言和网上其他的一些讲怎样提防SQLInjection的函数来看，良多人都走进了一个误区。

SQLInjection的伤害是很年夜的，好比关于SQLServer，能够创立、删除数据库，实行体系命令等等，如

droptabletbl_name,executemaster.dbo.xp_cmdshell"command"

以是良多人写的函数就是冒死的往过滤这些大概引发伤害的关头词，好比drop,分号,and,exe,mid等等，排列了

一年夜堆。



实在，尽能够不用那末烦琐，非要把复杂的事变庞大化。

关于过滤，ASP中只需针对字符型和数字型分离处置就能够了，



字符型的，把单引号转换成两个单引号strTmp=Replace(Trim(str),"","")

数字型的，就判别是不是可以转换成数字型的，用isNumeric函数




如今网上说的可以绕过单引号的打击，实际上是针对数字范例的

假如关于过滤了单引号的字符型，另有举措绕过，那就没得玩了........

</p>减少客户内IT专业人才缺乏带来的影响。ASP的客户员工利用浏览器进入相关的应用软件，简单易用，无需专业技术支持。

如何更好的使自己的东西看上去很不错等等。其实这些都不是问题的实质，我们可以在实践中不断提升自己，不断充实自己。

在平时的学习过程中要注意现学现用，注重运用，在掌握了一定的基础知识后，我们可以尝试做一些网页，也许在开始的时候我们可能会遇到很多问题，比如说如何很好的构建基本框架。

虽然ASP也有很多网络教程。但是这些都不系统。都是半路出家，只是从一个例子告诉你怎么用。不会深入讨论，更不会将没有出现在例子里的方法都一一列举出来。

兴趣爱好，那么你无须学编程，申请一个域名和空间，在网上下载一些免费开源的CMS系统，你不用改代码，只须熟悉它们的后台操作，像office一样简单方便，很快就能建一个站点，很多站长都是这样做的

尽管MS自己讲C#内核中更多的象VC，但实际上我还是认为它和Java更象一些吧。首先它是面向对象的编程语言，而不是一种脚本，所以它具有面向对象编程语言的一切特性，比如封装性、继承性、多态性等等，这就解决了刚才谈到的ASP的那些弱点。

代码逻辑混乱，难于管理：由于ASP是脚本语言混合html编程，所以你很难看清代码的逻辑关系，并且随着程序的复杂性增加，使得代码的管理十分困难，甚至超出一个程序员所能达到的管理能力，从而造成出错或这样那样的问题。

代码的可重用性差：由于是面向结构的编程方式，并且混合html，所以可能页面原型修改一点，整个程序都需要修改，更别提代码重用了。

完全不知道到底自己学的是什么。最后，除了教程里面说的几个例子，还是什么都不会。

以上是语言本身的弱点，在功能方面ASP同样存在问题，第一是功能太弱，一些底层操作只能通过组件来完成，在这点上是远远比不上PHP/JSP，其次就是缺乏完善的纠错/调试功能，这点上ASP/PHP/JSP差不多。

交流是必要的，不管是生活还是学习我们都要试着去交流，通过交流我们可以学到很多我们自己本身所没有的知识，可以分享别人的经验甚至经历。

作为IE上广为流传的动态网页开发技术,ASP以它简单易学博得了广大WEB程序爱好这的青睐,而且它对运行环境和开发品台的不挑剔,以及有大量有效的参考手册,极大的推广了它的发展。