Google
搜索WWW 博客内搜索
第一课.ASP开发10条经验总结

历时半年,我独自一人完成了一个局级单位的管理信息系统,共发布BETA版29次,正式版本3次。ASP+ORACLE环境,285个ASP文件,功能涉及数据录入、修改、模糊查询、自动统计、数据分析和报表,这个项目正在申报省级成果,现将我的10条经验总结如下,不对之处欢迎批评指正:

1. 不要再做ASP是否过时的讨论,重要的不是你是否使用先进的技术,而是你的设计思想是否先进;

2. 设计时要考虑项目的通用性,永远不要做没有推广价值的东西;

3. 程序设计要简洁,足够好的面向过程远远优于蹩脚的面向对象;

4. 理论是为实践服务的,所以不要被理论(尤其是设计模式)束缚;

5. 分工合理的情况下尽可能少的人员构成项目小组,通信的开销实在太大了;

6.没有不变的需求,要为你的程序留下足够多的拓展空间,同时要考虑在系统向其它平台移植时尽量减少工作量和难度的途径;

7. 千万不要忽视界面设计,很多情况下这成为对你项目评价的唯一标准;

8. 用正规文档记下你的变量使用情况,随着系统的增大,DEBUG的成本几乎成倍增长;

9. 能用机器生成的代码就不要去手写,最宝贵的就是时间;

10.选数据库还是要选ORACLE!

第二课.ASP开发准则

应用程序服务器被,或最终将被 Web 服务器所使用,它通常是运行 ASP 页面的 IIS 计算机。ASP 是您的对象的唯一客户机。它带来了专门的线程和安全考虑。

虽然许多使用 ASP 的 Web 站点根本就不用组件,但在这篇文章中假定 ASP 是 Internet 客户机和组件之间的桥梁。下面的 asp/server01242000.asp">ASP 组件准则(英文)提供

ASP 和组件之间的划分服务

ASP 最常用于在服务器上创建供客户机使用的 HTML 或 XML 文件,因此我们主要讨论这种使用方案。这就引出了一个常见的问题,如果 ASP 页面在服务器上,那么它们是否属于业务层的一部分呢?在组件世界中,答案通常是否。虽然 ASP 确实在服务器上运行,而且可能与应用程序服务器在同一个空间,但是这不能使它成为业务逻辑的一部分。

随着用户界面工具的发展或者随着启用更多的业务对业务方案,拥有这种明确的区别将获得巨大的回报。

话说到此,让我们来看一些最重要的业务层和表示层划分准则:

令 UI 代码与业务逻辑分离。这包括编写与 UI 耦合的代码,例如使用 ASP 内部组件的 MTS 对象,让它与业务逻辑代码分离,如同在不同的 DLL 中。


将事务与 ASP 页面分离。事务 ASP 在某些情况下非常好,但是组件和多层应用程序会改变这种情况。组件不应该依赖由客户机层来管理它们的事务和业务逻辑语义。


将表示组件(使用请求和响应的组件)与 Web 服务器放在相同的机器和/或进程中。如果将使用 ASP 内部组件对象的对象放在远程机器上,那么对内部组件的所有调用将以回调形式发生。调用 IIS 客户机的是 COM+ 服务器,它显著降低了性能并使安全配置复杂化。可以将这些调整对象放在标记为“库激活”的 COM+ 应用程序中。

ASP 存在于服务器上,因此 ASP 页面必须符合资源共享规则,并且记住可伸缩性。请看下面的详细内容:

在“会话”中,管理应尽量避免用户特定的状态。


保持 ASP 无状态,并在可能的情况下允许资源池。

操作方式

在评价某个代码段是否属于业务逻辑或者表示层时,请问一下自己,“如果我必须用按键式电话应用程序代替我的 ASP 页面,那么该代码是否还有用?”如果答案为“是”,那么可以尝试将它划分为业务逻辑代码或者用户界面帮助器代码。

如果改变了客户机后该代码不能用,或者如果它是构造用户界面的帮助器,则该代码属于表示服务层。它在 ASP 页面中,或在使用 ASP 内部组件的组件中。它不属于业务对象组件。

理解桌面与 ASP 客户机的区别

ASP 是组件的特殊客户机,不同于桌面上的传统单线程 Win32 应用程序。主要区别概括如下。

线程管理:ASP 是多线程客户机。这意味着可以有许多并发活动一起运行,也许在同一时刻处理不同的 ASP 页面。这说明不能使对象伪称它是唯一的使用者来独占系统。这样做可能有意外的反应,例如,养成一个坏习惯:将对象存储在 ASP 会话或者应用程序变量中。


安全环境:ASP 是由 Web 站点中的 Internet Information Services 5.0 执行的,有低、中、高三种隔离度。甚至这些 Web 站点可以有不同的安全设置、允许或拒绝匿名访问、验证客户等等。所有这些设置产生了大量的方案,即不同的用户帐户最终用的是您的对象。


轻松增长:这不是技术问题,而是 Web 应用程序所提供设施的副效应。传统上,为桌面应用程序增加用户基,要求仔细计划好向已知数量客户机的转出。ASP 已经改变了该过程。在启动和运行后,ASP-Visual Basic 应用程序可以方便地打开,供当地的或世界范围的所有职员、所有业务伙伴和所有客户使用。可以用这种方式描述 — 拥有超链接的单个电子邮件可以使用户基成十倍地增长。您的应用程序为此作好准备了吗?唯一了解的方式是对 Web 站点进行强度测试,以获得实际性能的预期值。关于强度测试的详细信息,请参阅“应用程序生命周期”一节。

在 ASP 内应该如何使用 Visual Basic 对象?在页面范围内创建和取消您的对象。也就是说,尽可能使 ASP 页面无状态,只在暂时状态下依赖会话或应用程序变量。不要将对象存储在会话或应用程序变量中。这将 ASP 线程锁定到您的会话、取消所有可伸缩性的预期值。也就是说,Web 服务器处理的用户数不会超过几十个。如果需要在会话或应用程序中存储内容,请使之成为数据而不是对象。

还有可以遵守的许多其他准则。我们建议您阅读 MSDN Voices 上 J. D. Meier 撰写的专栏“Servin' it Up”。该专栏包括了大量的技术、实践和技巧,有助于开发可扩展的、可靠的 ASP 和组件应用程序。

参考

asp#server">MSDN Voices: Servin' it Up Column(英文)

SeminarOnline:在 ASP 下使用自定义 COM 组件(英文)

asp">MSDN 杂志(英文)不要将引用存储在会话或应用程序中的 VB 对象中

所有 Visual Basic 6.0 组件都是“单元线程”的,就是说它们都运行在 STA 单元中。这意味着如果在线程中创建对象,那么对该对象的所有调用都必须用同一线程服务。许多线程(来自并发 Web 站点用户)使用 STA 对象的同一实例,会引起一连串的活动,有可能成为应用程序中的瓶颈。

此外,在会话范围内存储用 Server.CreateObject 创建的 STA 对象,可以有效地将执行线程联系到当前用户,从而将应用程序的最大并发用户数限制到默认的 20xN(N = 处理器数量)。

操作方式

如果您按照我们的建议使对象无状态,则不需要存储引用以供客户机复用,并在应用程序范围内存储它们。客户机将能够独立创建、使用和取消它们自己的对象。这就减少了保持会话特有对象的需要,原因是它们不保留会话特有的状态。

推荐的方式是使对象无状态,它在需要时访问数据库或其他存储区(例如 cookies 和 LDAP)。

如果需要使用会话或应用程序范围的数据,请将数据,而不是处理数据的对象,存储在此。您可以创建一个类,来封装对所需值的处理。

参考

asp">信息:不要在会话或应用程序中存储 STA 对象 (Q243543)(英文)

PRB:将 STA COM 组件存储在会话中,会将会话锁定在单线程中 (Q243815)(英文)

信息:ASP 下的组件线程模型概要 (Q243544)(英文)

学习 IIS 5.0 中的新内容

Internet Information Server 5.0 增加了许多新功能。这些改进均已写入 J.D. Meier 的 MSDN 文章中:asp/server02282000.asp">沿用 IIS 5.0 中的 ASP(英文)。下面是该文中最重要改进的概述。

改进的、出色的性能


Server.Transfer 和 Server.Execute 方法


集中式错误处理


改进的浏览器功能


改进的脚本引擎


正则表达式分析器


与 ADO 记录集 XML 功能的集成


新的安全性、缓冲、隔离和管理功能
 
第三课.Asp及Web开发中的常见问题

表格的折行处理.
<table style="TABLE-LAYOUT: fixed" width="200" border="0" cellspacing="0" cellpadding="7" bgcolor="#f7f7f7">
<tr>
<td style="LEFT: 0px; WIDTH: 100%; WORD-WRAP: break-word">
dffadfdaqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqsfdffadfdasfdffadfdasfdffadfdasfdffadfdasfdffadfdasfd
ffadfdasfdffadfdasfdffadfdasfdffadfdasf
</td>
</tr>
</table>

此处主要是用css样式进行控制在<table>标签中有个style="TABLE-LAYOUT: fixed",其说明如下
语法:
table-layout : auto | fixed
参数:
auto :  默认的自动算法。布局将基于各单元格的内容。表格在每一单元格读取计算之后才会显示出来。速度很慢
fixed :  固定布局的算法。在这算法中,水平布局是仅仅基于表格的宽度,表格边框的宽度,单元格间距,列的宽度,而和表格内容无关,此时在<td>标签中如果没有WORD-WRAP: break-word样式,表格中的内容将只能显示一部份,具体看表格的宽度了.word-wrap说明如下:
语法:
word-wrap : normal | break-word
参数:
normal :  允许内容顶开指定的容器边界
break-word :  内容将在边界内换行。如果需要,词内换行(word-break)也会发生
VBSCRIPT标记索引
基本运算
+ 数字加法及字符串连接
- 数字减法
* 数字乘法
/ 数字除法
Mod 求余数
\ 求商数
& 字符串连接
^ 次方
= 相等
<> 不相等
>= 大于或等于
> 大于
<= 小于或等于
< 小于
Not 非
And 且
Or 或
Xor 异或
循环及决策
if ....then 若...则...
if ...then...else 若...则...非
else if... 非若
select case... 群组选择条件
end select
for ... next 计数循环
while...wend 条件循环(一)
do while...loop 条件循环(二)
do...loop while 条件循环(三)
do until...loop 条件循环(四)
do...loop until 条件循环(五)
数学函数
Abs 绝对值
Sgn 正负号
Hex 转换成十六进制
Oct 转换成八进制
Sqr 平方根
Int 取整数
Fix 取整数
Round 取整数
Log 以e为底的对数
Sin 正弦函数
Cos 余弦函数
Tan 正切函数
字符串处理函数
Len 字符串长度
Mid 取部分字符串
Left 从字符串开头取部分字符串
Right 从字符串结尾取部分字符串
Lcase 转换成小写
Ucase 转换成大写
Trim 清除字符串开头及结尾的空格符
Ltrim 清除字符串开头空格符
Rtrim 清除字符串结尾空格符
Replace 替换字符串部分字符
Instr 判断是否包含于另一个字符串(从起始搜寻)
InstrRev 判断是否包含于另一个字符串(从结尾搜寻)
Space 任意字符数的空格符
String 任意字符数的任一字符
StrReverse 反转字符串
Split 以某字符分割字符串
数据类型转换函数
Cint 转换成整形
Cstr 转换成字符串
Clng 转换成常整数
Cbool 转换成布尔函数
Cdate 转换成日期函数
CSng 转换成单精度
CDbl 转换成双精度
日期时间函数
Date 现在日期
Time 现在时间
NOw 现在日期时间
DateAdd 增加日期
DateDiff 两日期差
DateSerial 日期设定
DateValue 日期设定
Year 现在年份
Month 现在月份
Day 现在天
Hour 现在时刻
Minute 现在分钟
Second 现在秒钟
Timer 午夜距现在秒数
TimeSerial 时间设定
TimeValue 时间所属部分
WeekDay 星期名称
MonthName 月份名称
其它函数
Array 产生数组
Asc 字符ASCII码
Chr ASCII码字符
Filter 过滤数组
InputBox 输入窗口
Join 合并数组中的元素
MsgBox 信息窗口
Lbound 数组下界
Ubound 数组上界
指令
Const 设定常数
Dim 定义变量或者数组
Erase 清除数组
ReDim 重新声明数组
Randomize 起始随机数
Rnd 取得随机数
ASP对象
Session对象
IsEmpty 测试Session变量是否存在
TimeOut 设定Session变量生存周期
Abandon 强制清除Session变量
Application对象
IsEmpty 测试Application变量是否存在
Lock 锁定Application变量
Unlock 解除Lock指令的锁定
Cookies对象
Expires 设定Cookies变量的生存周期
Connection对象
Open 打开与数据库的连接
Execute 打开Recordset对象
Close 关闭Connection对象
Recordset对象
movefirst 将记录指针移至第一条
movelast 将记录指针移至最后一条
movenext 将记录指针移至下一条
moveprevious 将记录指针移至上一条
bof 测试是否为recordset的起始
eof 测试是否为recordset的结束
open 打开Recoreset对象
close 关闭recordset对象
fields 读取数据的子对象
fileds.count 字段个数
pagesize 每页记录条数
absolutepage 设定为某页
pagecount 总页数
Absoluteposition 直接跳至某条记录
MicrosoftVBscript运行时错误列表(10进制表示)
error # 5 无效的过程调用或参数
error # 5 无效的过程调用或参数
error # 6 溢出
error # 7 内存不够
error # 9 下标越界
error # 10 该数组为定长的或临时被锁定
error # 11 被零除
error # 13 类型不匹配
error # 14 字符串空间不够
error # 17 不能执行所需的操作
error # 28 堆栈溢出
error # 35 未定义过程或函数
error # 48 加载 DLL 时出错
error # 51 内部错误
error # 52 错误的文件名或号码
error # 53 文件未找到
error # 54 错误的文件模式
error # 55 文件已经打开
error # 57 设备 I/O 错误
error # 58 文件已存在
error # 61 磁盘已满
error # 62 输入超出了文件尾
error # 67 文件过多
error # 68 设备不可用
error # 70 没有权限
error # 71 磁盘没有准备好
error # 74 重命名时不能带有其他驱动器符号
error # 75 路径/文件访问错误
error # 76 路径未找到
error # 91 对象变量未设置
error # 92 For 循环未初始化
error # 94 无效使用 Null
error # 322 不能创建必要的临时文件
error # 424 缺少对象
error # 429 ActiveX 部件不能创建对象
error # 430 类不支持 Automation 操作
error # 432 Automation 操作中文件名或类名未找到
error # 438 对象不支持此属性或方法
error # 440 Automation 操作错误
error # 445 对象不支持此操作
error # 446 对象不支持已命名参数
error # 447 对象不支持当前区域设置选项
error # 448 未找到已命名参数
error # 449 参数是必选项
error # 450 错误的参数个数或无效的参数属性值
error # 451 对象不是一个集合
error # 453 未找到指定的 DLL 函数
error # 455 代码资源锁定错误
error # 457 此键已与该集合的一个元素关联
error # 458 变量使用了一个 VBScript 中不支持的 Automation 类型
error # 462 远程服务器不存在或不可用
error # 481 无效图片
error # 500 变量未定义
error # 501 非法赋值
error # 502 对象不能安全用 Script 编程
error # 503 对象不能安全初始化
error # 504 对象不能安全创建
error # 505 无效的或无资格的引用
error # 506 类没有被定义
error # 507 出现一个意外错误
error # 1001 内存不够
error # 1002 语法错误
error # 1003 缺少 ':'
error # 1005 缺少 '('
error # 1006 缺少 ')'
error # 1007 缺少 ']'
error # 1010 缺少标识符
error # 1011 缺少 '='
error # 1012 缺少 'If'
error # 1013 缺少 'To'
error # 1014 缺少 'End'
error # 1015 缺少 'Function'
error # 1016 缺少 'Sub'
error # 1017 缺少 'Then'
error # 1018 缺少 'Wend'
error # 1019 缺少 'Loop'
error # 1020 缺少 'Next'
error # 1021 缺少 'Case'
error # 1022 缺少 'Select'
error # 1023 缺少表达式
error # 1024 缺少语句
error # 1025 语句未结束
error # 1026 缺少整型常数
error # 1027 缺少 'While' 或 'Until'
error # 1028 缺少 'While' 和 'Until'或语句未结束
error # 1029 缺少 'With'
error # 1030 标识符过长
error # 1031 无效数字
error # 1032 无效字符
error # 1033 未结束的字符串常量
error # 1034 注释未结束
error # 1037 无效使用 'Me' 关键字
error # 1038 'loop' 语句缺少 'do'
error # 1039 无效的 'exit' 语句
error # 1040 循环控制变量 'for' 无效
error # 1041 名称重定义
error # 1042 必须是行中的第一个语句
error # 1043 不能为 non-ByVal 参数赋值
error # 1044 调用子程序时不能使用括号
error # 1045 缺少文字常数
error # 1046 缺少 'In'
error # 1047 缺少 'Class'
error # 1048 必须在一个类的内部定义
error # 1049 在属性声明中缺少 Let , Set 或 Get
error # 1050 缺少 'Property'
error # 1051 在所有属性的规范中,变量的数目必须一致
error # 1052 在一个类中不允许有多个缺省的属性/方法
error # 1053 类的初始化或终止程序没有变量
error # 1054 属性的 set 或 let 必须至少有一个变量
error # 1055 错误的 'Next'
error # 1056 'Default' 只能在 'Property' , 'Function' 或 'Sub' 中指定
error # 1057 指定 'Default' 时必须同时指定 'Public'
error # 1058 只能在 Property Get 中指定 'Default'
error # 4096 Microsoft VBScript 编译器错误
error # 4097 Microsoft VBScript 运行时错误
error # 5016 缺少正则表达式对象
error # 5017 正则表达式语法错误
error # 5018 错误的数量词
error # 5019 正则表达式中缺少 ']'
error # 5020 正则表达式中缺少 ')'
error # 5021 字符集越界
树形菜单:
<SCRIPT language="JavaScript">
var lastObj
function expandIt(obj)
{
if(lastObj != null)
{
if(obj == lastObj)
{
if(obj.style.display == "none")
{
obj.style.display = "";
}
else
{
obj.style.display = "none"
}
}
else
{
lastObj.style.display = "none";
obj.style.display = "";
}
}
else
{
obj.style.display = "";
}
lastObj = obj
}
</SCRIPT>
<table width="100%" border="0" cellspacing="0" cellpadding="0">
<%
dim id
id = request("id")
dim strsql,rs
strsql="select * from p_type where slanguage=1 and typelevel=1 order by typename"
set rs=fgetrslist(strsql)
do while not rs.eof
%>
<tr>
<td height="25" class="LEFTLINKS"><img width="30" height="0" align="absmiddle" /><b><%if rs("isleaf")=0 then%><a href="#" id")%>);return false"><%else%><a href="<%=request.ServerVariables("SCRIPT_NAME")%>?idtree=<%=rs("idtree")%>" ><%end if%><%=server.HTMLEncode(right((rs("typename")&""),len(rs("typename")&"")-2))%></a></b></td>
</tr>
<%
IF clng(id)=clng(rs("id")) then
%>
<tr id="kb<%=rs("id")%>">
<%
else
%>
<tr id="kb<%=rs("id")%>" style="display:none;">
<%
end if
%>
<td>
<table>
<%
dim rs1
strsql="select * from p_type where parentid="&rs("id")&" and slanguage=1 order by typename"
set rs1=fgetrslist(strsql)
do while not rs1.eof
%>
<tr><td height="20" class="LEFTLINKS">
<img width="40" height="0" align="absmiddle" /><a href="<%=request.ServerVariables("SCRIPT_NAME")%>?idtree=<%=rs1("idtree")%>&id=<%=rs("id")%>" ><%=server.HTMLEncode(right((rs1("typename")&""),len(rs1("typename")&"")-2))%></a></td></tr>
<%
rs1.movenext
loop
rs1.close
set rs1=nothing
%>
</table>
</td>
</tr>
<%
rs.movenext
loop
rs.close
set rs=nothing
%>
</table>


第四课.ASP文件中的安全问题

ASP中可能有哪些安全问题?
ASP具有简单、易用、多功能,可扩充性等强大功能,但也存在一些问题。譬如,如果使用ASP的话,可能会导致网络的安全性大大降低了!下面为大家举一个例子,请按照下面的步骤:
(1)从http://home.gbsource.net/xuankong/dll.zip下载这个文件,解压缩后把其中的test.dll文件拷贝到c:\windows\system(如果你使用的是NT的话,请拷贝到相应的目录中);
(2)接下来打开"开始/运行"菜单输入"regsvr32 test.dll"命令;
(3)拷贝解压后的文件包中的那个index.asp到你的服务器目录(如果你使用的是PWS调试可以拷贝到"c:\inetpub\wwwroot",NT请拷贝到相应的目录);
(4)换一台机器用IE浏览index.asp文件看一看(你看到的是出错代码,但是实际上程序已经运行了),你再返回你的机器看一看c:\下面是不是多了一个文件?一个名为xuankong.dat的文件(其实如果我愿意,你的c:\autoexec.bat文件页可以被我打开并写进去一些像"format c:/q/u"等命令,那么等你下次重新启动的时候,结果就不言自明了)。
ASP页面的安全问题是如何产生的?

下面我们来看一下到底是怎么回事,你刚才拷贝的那些dll文件其实是我使用Visul Basic5开发的一个主件,这个文件是通过以下步骤产生的:
(1)打开VB5新建一个"ActiveX.dll"文件,吧下面的代码输入进去:
Private Declare Function ExitWindowsEx Lib "user32"_(ByVal uFlags As Long,ByVal dwReserved As Long)_As LongSub Xuankong ( ) "请不要加上"private"a$ = InputBox ("请输入你的姓名,如果你输入的是"xuankong""+Chr(13)+Chr(10)+"则会在你的系统中生成一个"xuankong"文件"+Chr(10)+Chr(13)+"否则你的机器可能会重起","请输入","xuankong")If a$ = "xuankong" ThenOpen "c:\xuankong.dat" For Append As #Write#1,"我的朋友,这是一个asp主件测试程序"#Write#1,"hello world!this is a test"#Write#1,"如果你看到这个文件测试就成功!"elseExitWindowsEx&H43,0使用API函数重新启动机器End ifClose #1End sub
(2)把工程名改为dll,类模块改为test,然后把这个工程生成dll文件到c:\windows\system目录下面。
(3)新建一个index.asp文件下面的代码输入进去:
<html> </html>
(4)拷贝index.asp到你的服务器内,按照上面的方法调试!
总结:
上面所说的是ASP主件的安全问题!另外如果有些作者再写ASP主件的时候不小心留下系统bug!那就更加不容易发现了!也可能会带来意想不到的问题。


第五课.关于如何保障Winnt +asp +sql web站点的安全经验

以下是我的一些经验,希望对你有用,但你要知道,绝对的安全是没有的。这才是一个网管存在的理由。所以。未雨绸缪是件好事。但亡羊补牢也不是下策。

请看我的经验:

1。多看看ms的安全公告,这是首选。订阅安全技术杂志。(MS免费的!)如果是正版的nt,则会有最新的安全E-mail。保证及时更新。

2。多大补丁,一定要注意顺序,如果安装了系统软件,则还要重补。(如后面加上了smtp服务,则还要重补sp1等等,否则可能导致旧文件不会被覆盖)。

3。提高安全策略,也可以用微软的安全模板。有一些很好的自动模板。可以根据需要自动加上。

4。加大审核力度,审核权限比较大的操作。

5。密码按时更改。必须符合策略。

6。常上一些安全论坛。如:绿盟科技,妖狐站点。

7。账号的级别一定要多分一些,如果可一实现功能,就不要给更大权限。

8。去掉多余的服务。如:(ftp,smtp,nntp,telnet)多余的脚本,例子。如IIS中好多的脚本库,都可以不要。

9。去掉一些危险的命令。不要共享c盘。

10。常看看日志,事件。

11。不要安装html的远端管理。

12。最好安装一些黑客工具,模拟攻击。看看是否出了问题。

13。安装端口扫描工具。看看是否有些不用的开放端口。

14。安装一些防止窃听的工具,去除一些隐藏在端口的sniffer,防止密码数据被截获。

15。远程管理时最好调试端管理。密码加密策略高一些。防止被截获。

16。用注册表修改掉某些选项。如自动显示最后一个登录着的姓名。

17。改掉administrator的缺省姓名。这样可以多一级保护!

18。密码策略

19。密码的安全策略。多少位的密码是安全的。这个很怪。按照ms的加密算法。只有14位以上的密码是可能安全的。但实际上很少有人能记住那么多位的密码。但14位一下。7位密码比较安全。(很怪吧。)微软工程师说有时7位比10位还要保险。呵呵,具体原因说起来比较复杂。我是给我老弟讲课的。省略吧。

20。建议密码有字母。数字。大小写组成。最好加上一些如!·#¥%()等的字符。也很难被猜到。

21。用户名改掉缺省的admini.....后,可以建一个14位长的管理员名。可以全部用字母。这样就加大了一级保护。

22。加大策略。防止用枚举法猜出账号名。

23。加入防止5次登录失败后,自动锁定账号20分中。防止暴力法突破。

24。建立分类的密码策略。不要用一些内置账号。如“sa”。

25。将sa的密码加大。最好不要常用他。建一个另外的管理员账号。然后对每一个自建的数据库都建一个分类账号。asp中最好用他来连接。这样就可以保障其他数据库的安全。

26。去掉一些权限。不允许普通用户用比较危险的存储过程。

27。不允许除管理员外的账号远程连接。或是加上命名管道。

27。asp如果能用dsn,就不要用连接字符串。并采取包含文件的模式包含进来。

第六课.Web程序中网页间数据传递方法小结

介绍

我们总是会遇到这样的情况,需要将数值从一个网页传递到另一个网页。在这篇文章中,向你展示了几种从一个网页向另一个网页传递数值的几种方法。在此例子中,创建的网页由一个文本控件和几个按钮控件组成。在文本框中输入的数据通过被标识在按钮控件中的不同方法从一个网页传递到另一个网页。

Response.Redirect

让我们首先看一看如何使用Response.Redirect方法传递数据。这是它们之中最简单的方法。在文本框中输入一些数据,并且当你输入完成数据后,按下“Respose.Redirect”按钮。我们会得到一个提示,有时我们想在catch程序中传递另一个网页,意味着捕捉到例外程序并且向另一个网页传递。如果你试图这样做,它会给你一个System.Threading例外程序。因为你想遗留下一个线程向另一个网页传递数据,所以这个例外程序就会被抛出。

Response.Redirect("WebForm5.aspx",false);

这个语句告诉编译器定位到“WebForm5.aspx”,这里的“false”意味着在当前网页不能结束你正在做的事情。应该看一看线程发布命令的System.Threading类。在下面,看一看按钮事件的C#代码。“txtName”文本控件的名字,文本框的内的值传递到一个叫做“WebForm5.aspx”的网页。在“?”之后的“Name”符号只是一个临时的响应变量,这个变量保持着文本的数值。

private void Button1_Click(object sender, System.EventArgs e)

{

// Value sent using HttpResponse

Response.Redirect("WebForm5.aspx?Name="+txtName.Text);

}

好的,到这种观点为止,你使用Response发送了数值。刚刚,在此我收集到了这些数值,所以在“WebForm5.aspx”page_Load事件中,写入这些代码。首先,我们检查到输入的值不为null。如果不是这样,我们只是简单地在网页上使用Label控件显示数值。注意:如果你使用Response.Redirect方法来传递这些数值,所有这些数值在浏览器的URL中都是不可见的。你绝不能使用Response.Redirect来传递信用证号码和机密信息。

if (Request.QueryString["Name"]!= null)

Label3.Text = Request.QueryString["Name"];

Cookies

接下来使用Cookies。Cookies在服务器端创建,但是客户端省略。在此 “Cookies” 按钮的click事件中,写入以下代码:

HttpCookie cName = new HttpCookie("Name");

cName.Value = txtName.Text;

Response.Cookies.Add(cName);

Response.Redirect("WebForm5.aspx");

首先,创建一个cookie命名为“cName”。既然一个cookie实例可以拥有许多数值,告诉编译器这个cookie持有“Name”数值。我们将它赋值给TextBox并且最结后将它加入Response流,再使用Response.Redirect方法传递给其它网页。

让我们看一看如何得到被另一个网页传递的cookie数值。

if (Request.Cookies["Name"] != null )

Label3.Text = Request.Cookies["Name"].Value;

如你所看到的,象我们以前做一的一样正是使用同一种方法,刚刚我们在Request.QueryString之内,使用了Request.Cookies。记注一些浏览器不接收cookies。

Session Variables
接下来我们看一看session变量,这些变量由服务器来处理。第一个响影一从客户端传递到服务器,Sessions就创建了,并且当用户关闭浏览器窗口或者一些异常操作发生,session就会结束。给你一些可以使用session变量来传递数值的方法。在下面你看到为用户创建的Session和 “Name”是关键字,也如知名的Session关键字一样,关键字被赋给TextBox数值。
// Session Created
Session["Name"] = txtName.Text;
Response.Redirect("WebForm5.aspx");
// The code below shows how to get the session value.
// This code must be placed in other page.
if(Session["Name"] != null)
Label3.Text = Session["Name"].ToString();
Application Variables
有时,我们需要存取来自网页任何地方的数值。因为那样,可以使用Application变量。这里有一小段代码,这段代码显示如何做到那些事情。一旦创建Application变量并且为其赋值,在应用程序的任何地方都可以重新得到它的值。
// This sets the value of the Application Variable
Application["Name"] = txtName.Text;
Response.Redirect("WebForm5.aspx");
// This is how we retrieve the value of the Application Variable
if( Application["Name"] != null )
Label3.Text = Application["Name"].ToString();
HttpContext
可以使用HttpContext从网页中重新得到数值。通过使用方法的属性获得那些数值。既然它们易于编写代码和修改,使用属性是一种好方法。在你的第一个网页中,制造一个属性,这个属性可以返回TextBox的值。
public string GetName
{
get { return txtName.Text; }
}
我们使用Server.Transfer来将此控件发送到一个新网页。注意:Server.Transfer仅仅将此控件传递到新的网页并且不重新定位该网页,这意味着你会看到在URL中旧网页的地址。简单地在“Server.Transfer”按钮单击事件,并且增加下列代码。
Server.Transfer("WebForm5.aspx");
现在,让我们定位网页,数值就传递到该网页上,在这种情况下使用的该网页是“webForm5.aspx”。
// You can declare this Globally or in any event you like
WebForm4 w;
// Gets the Page.Context which is Associated with this page
w = (WebForm4)Context.Handler;
// Assign the Label control with the property "GetName" which returns string
Label3.Text = w.GetName;
Special Note
特别注意 与你看到的一样,从一个网页向别一网页传递数值时有不同的方法。每一个方法有它自己的优点也有其缺点。所以,当你传递数值时,选择好你所需要的所以你就会有一种好方法,这种方法对你是最为可行的。
posted on 2007-03-16 21:04 求勿求 阅读(1423) 评论(0)  编辑 收藏 引用 所属分类: IT歧途
只有注册用户登录后才能发表评论。