我的一个asp + sqlserver的分页程序:这个程序的特点就是指将当前页的纪录掉到页面上来。性能不错,而且不用存储过程,由于代码没有封装,所以很零散,要用到你的程序中,需要先简单读读。然后注意需要自己设置的地方的意思。有些是可以省略的。有些参数传递也是可以省略的。
代码如下:
'''' 塞北的雪 分页利器(sql server) 不用存储过程 -------------------------
'其中注释中有 ###的需要用户设置 '其中注释中有 参数传递 ** 的 说明要通过参数 传递。
'定义变量dim tOption '查询条件dim tOrder '排序字符串 dim tOrderField '排序字段 可通过参数获得:order_fielddim tOrderDirection '排序方向 可通过参数获得:order_direction
dim tPageSize '页大小dim tTotalCount '总记录数 可通过参数获得:t_countdim tPageCount '页数dim tCurPage '当前页号 可通过参数获得:page
dim tTableName '表或者视图名dim tFieldAlias '行号的别名dim tFieldList '查询的字段列表dim tPageField '用于分页的字段
dim r_count '查得的记录数
set rs=server.createobject("adodb.recordset") '记录集对象
'排序处理tOrderField=Request("order_field") '获得排序字段(参数传递 **)tOrderDirection=Request("order_dir") '获得排序方向(参数传递 **)
if(tOrderField="") then tOrderField="item_code" ' ### 设置默认排序字段if(tOrderDirection="") then tOrderDirection="asc" ' ### 设置默认排序方向'www.knowsky.comtOrder=" order by " & tOrderField & " " & tOrderDirection & " " '生成排序字符串
'定义参数tPageSize=find_rs_count ' ### 设置页大小tTableName="view_select1" ' ### 设置与查询的表格或视图tFieldList=" * " ' ### 欲查询的字段列表tPageField="item_code" ' ### 设置一个主键或唯一索引的字段 ,用于分页计算
'页数处理tCurPage=Request("page") '获得当前页(参数传递 **)tTotalCount=Request("t_count") '获得总页数(参数传递 **)
if(tCurPage="") then tCurPage=1if(cint(tCurPage)=0) then tCurPage=1if(tPageCount="") then tPageCount =1if(cint(tPageCount)=0) then tPageCount=1
' 构造查询条件,根据具体的程序,肯定不一样。但是最后的条件必须是“ where ??? ”tOption=" issue_flag='Y'" ' ### 设置条件if f_c<>"" then tOPtion= tOPtion & f_c ' ### 设置条件
if trim(tOption)="" then tOption = " where 1=1 " '如果没有条件,就自己加一个。else tOption= " where " & tOPtion end if
'构造查询字符串,这个分页程序的核心,此查询串是我们只下载当前页所需的记录 if(tCurPage>1) then conStr="select top " & tPageSize & " " & tFieldList & " from " & tTableName & tOption conStr =conStr & " and " & tPageField & " not in(select top " & tPageSize*(tCurPage-1) & " " & tPageField & " from " & tTableName & tOption & " " & tOrder & ") " & tOrder else conStr="select top " & tPageSize & " " & tFieldList & " from " & tTableName & tOption & " " & tOrder end if '执行主查询,获得相应记录集 Call ConnDataBase() ' ### 建立数据库连接 rs.cursorlocation=3 rs.open conStr,conn,3,1 '执行查询 r_count= rs.recordcount
'当还没有查询过总记录数时 并且 总的记录数超过了页大小时 ,查询当前条件下的总的记录数 if(r_count>=tPageSize or tCurPage>1) and tTotalCount=0 then set rr=conn.execute("select count(*) from " & tTableName & " " & tOption) tTotalCount=rr(0) rr.close() set rr=nothing end if if(cint(tTotalCount)=0) then tTotalCount=r_count '如果总记录为0,将当前差得的记录集的记录数设置为总记录数,说明当前的总记录数小于页大小 '利用页大小和总记录数 计算页数 if(cint(tTotalCount)>cint(tPageSize)) then tPageCount=cint((cint(tTotalCount) \ cint(tPageSize))) if(cint(tTotalCount) mod cint(tPageSize))>0 then tPageCount =tPageCount +1 end if end if tCurPage=cint(tCurPage) tPageCount=cint(tPageCount)
' ---------------------------------------------------------------------
这就是全部代码,感兴趣的朋友,可以研究一下,或者将他封装起来,加上分页导航等方法。总之,希望此代码能对大家有用。
后就已经留在cookie中了。这是一个简单的跨站攻击的范例。
如果你认为这是一个特殊情况,你也不妨到网上别的地方看看,亲自试一下。我曾经对一些大型的政府网站、教育网站以及商业网站进行过测试,他们当中的确有部分出现了以上所说的情况,我甚至发现了我经常使用信用卡的网站也居然对输入不进行任何过滤,想想真是可怕。
第二部分:跨站Script攻击的防犯
一、如何避免服务器受到跨站Script的攻击
值得庆幸的是,防止跨站Script攻击的技术正趋于完善。目前可采取这几种方式来防止跨站Script的攻击:
1.对动态生成的页面的字符进行编码
你们首先要采用的就是对动态生成页面的字符进行编码,你必须这样做,不然黑客很有可能更改你的字符设置而轻易地通过你的防线。如果我们的网站是个英语网站,这样只要我们把字符编码设成拉丁字符ISO-8859-1就行了,具体情况如下:
<META http-equiv="Content-Type" content="text/html;charset=ISO-8859-1">
2.过滤和限制所有输入的数据
这是防止跨站Script的攻击的第二种方法,在进行登录的时侯,不要让那些特殊的字符也输入进去。因此我们可在ONSUBMIT方法中加入JAVASCRIPT程序来完成这个功能。在本例中我们限制最多只能输入15个字符。这样可以阻止那些较长的script的输入。
在<<Knowledge Base Article QA252985>>这本书中微软提供了一个简短的Javascript程序来完成对输入数据的过滤。我们也根据具体情况引进了这段代码用于我们的例子中,如:
function checkForm() {
document.forms[0].userName.value = _
RemoveBad(document.forms[0].userName.value);
return true;
}
// MICROSOFT'S CODE
function RemoveBad(strTemp) {
strTemp = strTemp.replace(/\</\>/"/'/%/\;/\(/\)/\&/\+/\-/g,"");
return strTemp;
}
用这个办法,可以过滤在输入中含有的这些字符:
% < > [ ] { } ; & + - " '( )
3.使用HTML和URL编码
尽管使用上面所说的过滤和限制输入的办法是一种非常重要用防御手段,但它对我的这种采用邮件方式的攻击还是无能为力。因为我把URL的参数直接放在邮件中。针对这种情况我们不得不采取一种更有力的安全措施。如果我们用的ASP,解决起来相对说来要容易得多。只要对动态生成的网页总进行HTML和URL编码就行了。针对我们例子中的情况,在第一输入页中我们对redirect URL作了如下改动:
strRedirectUrl = strRedirectUrl & _
server.URLEncode(Response.Cookies("userName"))
在执行页中我们加入:
strUserName =server.HTMLEncode(Request.QueryString("userName"))
和
strUserName =server.HTMLEncode(Request.Form("userName"))
微软推荐对所有动态页面的输入和输出都应进行编码。甚至在对数据库数据的存入和取出也应如此。这样你就能在很大程度上避免跨站script的攻击。
要做到这些还要在Page1.asp中加入:
<%@ Language=VBScript %>
<% If Request.Cookies("userName") <> "" Then
'redirect if detect the cookie
Dim strRedirectUrl
strRedirectUrl = "page2.asp?userName="
strRedirectUrl = strRedirectUrl & _
server.URLEncode(Request.Cookies("userName"))
Response.Redirect(strRedirectUrl)
Else %>
<HTML>
<HEAD>
<META http-equiv="Content-Type"content="text/html; charset=ISO-8859-1">
<TITLE>MyNiceSite.com Home Page</TITLE>
</HEAD>
<script LANGUAGE="javascript">
<!--
function checkForm() {
document.forms[0].userName.value =
RemoveBad(document.forms[0].userName.value);
return true;
}
//******************************************************
//Programmer: NOT ORIGINAL CODE - COMES FROM MICROSOFT
//Code Source: Microsoft Knowledge Base Article Q25z985
//Description: Removes bad characters.
//******************************************************
function RemoveBad(strTemp) {
strTemp =strTemp.replace(/\</\>/"/'/%/\;/\(/\)/\&/\+/\-/g, "");
return strTemp;
}
//-->
</SCRIPT>
<BODY>
<BR>
<H2>MyNiceSite.com</H2>
<BR>
<FORM method="post"action="page2.asp" onsubmit="return checkForm();">
Enter your MyNiceSite.com username:
<INPUT type="text"name="userName" width="10" maxwidth="10">
<INPUT type="submit"name="submit" value="submit">
</FORM>
</BODY>
</HTML>
<% end if %>
Page2.asp中加如:
<%@ Language=VBScript %>
<% Dim strUserName
If Request.QueryString("userName")<>"" Then
strUserName =server.HTMLEncode(Request.QueryString("userName"))
Else
Response.Cookies("userName") =Request.Form("userName")
strUserName = server.HTMLEncode(Request.Form("userName"))
End If %>
<HTML>
<HEAD>
<META http-equiv="Content-Type" [Web开发]一个关于ASP运行时间计算的代码 [Web开发]ASP:检测含有中文字符串的实际长度 [Web开发]asp 中英文字符长度检测判断函数 [Web开发]安全维护 IIS asp 站点的高级技巧 [Access]ASP&SQL让select查询结果随机排序的实现方法 [Web开发]ASP字符串截取函数 [Web开发][asp]关键词只替换一次的写法 [其他]手工升级ACCESS到SQLSERVER方法详解 [Web开发]Asp无组件生成缩略图方法详解 [Web开发]asp编程中优化数据库方法详解
|