新手必看：asp編程的基本法則

一、新手常犯的錯誤
在論壇看到很多文章代碼中都有一個共同的基本錯誤，欄位類型錯誤。
程式和資料庫是緊緊相連的，資料庫欄位文本型或時間型的都使用單引號
比如下面這段修改語句：
conn.execute "update Counts set counts='"&counts&"' where num="&num&" and Atime='"&now()&"'"
等號左邊都是欄位名，等號右邊是傳值過來的變數名，counts 欄位是文本型，所以寫入時必須前後加單引號，無論是寫入還是查詢都一樣，後面的查尋語句中，num 欄位是數字型，所以前後就沒有單引號了，Atime 欄位是時間型所以前後也要加單引號。
最重要的是以ID查詢，ID欄位是唯一的並且數字類型，很明顯查詢ID號時前後也不能有單引號
conn.execute "update Counts set counts='"&counts&"' where id='"&id&"'"  '錯誤寫法
conn.execute "update Counts set counts='"&counts&"' where id="&id  '正確寫法

二、ACCESS 資料庫連接
通常資料庫連接有兩種方式，新手基本不知道用哪一種方式，或者在什麼情況下用哪一種，又或者不知道兩者的原理
①直接連接資料庫檔案
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ="&Server.MapPath("database/yanhang.mdb")

②通過資料來源來串連資料庫檔案
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source="&Server.MapPath("database/yanhang.mdb")

那麼，兩者到底哪一個好呢，當然是第二種，因為第一種其實就是用戶端瀏覽器直接讀取資料庫的，所以安全方面差很多，第二種通過資料來源串連，是以伺服器資料來源工具串連的，與用戶端沒關係，所以資料庫不會暴露給用戶端，安全係數高很多。

ACCESS 資料庫對應程式的應用：①直接連接資料庫檔案
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ="&Server.MapPath("database/yanhang.mdb")
這樣的資料庫連接方式，添加語句：
set rs=server.createobject("adodb.recordset")   '(正確寫法)
rs.open "select * from dndj",conn,1,3
rs.addnew
rs("bh") = bh
rs("bm") = bm
rs("xm") = xm
rs("xsq") = xsq
rs.update
rs.close
set rs=nothing

set rs=server.createobject("adodb.recordset")  '(錯誤寫法)
sql="insert into dndj(bh,bm,xm,xsq) values('bh','bm','xm','xsq')"
rs.open sql,conn,1,3

ACCESS 資料庫對應程式的應用：②通過資料來源來串連資料庫檔案
conn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source="&Server.MapPath("database/yanhang.mdb")
這樣的資料庫連接方式，添加語句：
conn.execute "insert into dndj(bh,bm,xm,xsq) values('"&bh&"','"&bm&"','"&xm&"','"&xsq&"')"    '(正確寫法)

set rs=server.createobject("adodb.recordset")  '(錯誤寫法)
sql="insert into dndj(bh,bm,xm,xsq) values('bh','bm','xm','xsq')"
rs.open sql,conn,1,3

三、雙引號的應用
通常我們寫超級串連這樣 <a href="abc.asp?id=<%=rs("id")%>">超級串連</a>
但要是把這個超級串連編譯進asp裡面呢
response.write "<a href=""abc.asp?id="&rs("id")&""">超級串連</a>"   '(正確寫法)
response.write "<a href='abc.asp?id="&rs("id")&"'>超級串連</a>"       '(正確寫法)
response.write "<a href=abc.asp?id="&rs("id")&">超級串連</a>"        '(正確寫法)

response.write "<a href="abc.asp?id=<%=rs("id")%>">超級串連</a>"  '(錯誤寫法)
response.write "<a href="abc.asp?id="&rs("id")&"">超級串連</a>"       '(錯誤寫法)

表單編譯進asp裡  <input type="text" name="id" value="<%rs("id")%>" />
response.write "<input type=""text"" name=""id"" value="""&rs("id")&""" />" '(正確寫法) 注意：這裡有三個雙引號
response.write "<input type='text' name='id' value='"&rs("id")&"' />"       '(正確寫法)
response.write "<input type=text name=id value="&rs("id")&" />"            '(正確寫法)

response.write "<input type="text" name="id" value="<%=rs("id")%>" />"  '(錯誤寫法)
response.write "<input type="text" name="id" value=""&rs("id")&"" />"       '(錯誤寫法)

四、防止ACCESS資料庫被下載的幾個方法
很多動態網站大量應用了資料庫，資料庫理所當然成了一個網站的核心檔案。一旦資料庫被非法下載，極有可能被惡意人士破壞網站。或者竊取資料。

下面提供的方法分別適用使用虛擬機器主機空間的使用者和有IIS控制權的使用者！

   一：購買虛擬機器主機空間的，適合沒有IIS控制權
1：發揮你的想象力 修改資料庫檔案名
這個是最基本的。我想現在也沒有多少連資料庫檔案名都懶得改的人吧？ 至於改成什麼，你自己看著辦，至少要保證檔案名稱複雜，不可猜測性。當然這個時候你的資料庫所在目錄是不能開放瀏覽目錄許可權的！

2：資料庫名尾碼改為ASA、ASP等
這個聽說很流行，不過我測試了好多次，發現並不理想，如果真正要起到防止下載的作用，要進行一些二進位欄位添加等設定，一句話，繁而複雜（如果你的資料庫有很多的話，這個方法實在不是很好）

3：資料庫名前加“#”
只需要把資料庫檔案前名加上#、然後修改資料庫連接檔案（如conn.asp）中的資料庫地址。原理是下載的時候只能識別 #號前名的部分，對於後面的自動去掉，比如你要下載：http://bbs.bccn.net/date/#123.mdb (假設存在的話）。無論是IE還是FLASHGET等下到的都是 http://bbs.bccn.net/date/index.htm

今天來看到57樓的兄弟說前面加“#”根本就是垃圾，後來測試了下
使用%23的確能下載:http://bbs.bccn.net/date/[color=red]%23123.mdb
後來我研究了下，中間加空格的瀏覽器自動編譯成 %20 也是能夠下載的
最後索性都不用，我就使用#+空格的編解碼 %23%20.mdb 作為資料庫名字
http://bbs.bccn.net/date/%23%20.mdb
經過測試，使用迅雷和普通的下載工具都不能下載[/color]

4：加密資料庫
用ACCESS將你的資料庫以獨佔方式開啟後，在工具-安全-設定資料庫密碼，加密後要修改資料庫連接頁， 如：
conn.open "driver={microsoft access driver (*.mdb)};uid=admin;pwd=資料庫密碼;dbq=資料庫路徑"
這樣修改後，資料庫即使被人下載了，別人也無法開啟（前提是你的資料庫連接頁中的密碼沒有被泄露）
但值得注意的是，由於Access資料庫的加密機制比較簡單，即使設定了密碼，解密也很容易。該資料庫系統通過將使用者輸入的密碼與某一固定密鑰進行“異或”來形成一個加密串，並將其儲存在*.mdb檔案從地址“&H42”開始的地區內。所以一個好的程式員可以輕鬆製作一個幾十行的小程式就可以輕鬆地獲得任何Access資料庫的密碼。因此，只要資料庫被下載，其安全依然是個未知數。

  二：有主機控制權 （當然虛擬空間的設定在這裡依然可以用）
5:資料庫放在WEB目錄外
如你的WEB目錄是e:/webroot，可以把資料庫放到e:/data這個檔案夾裡，在e:/webroot裡的資料庫連接頁中
修改資料庫連接地址為："../data/#123 456.mdb" 的形式，這樣資料庫可以正常調用，但是無法下載的，因為它不在WEB目錄裡！這個方法一般也適合購買虛擬空間的使用者。

6:使用ODBC資料來源。
在ASP等程式設計中，如果有條件，應盡量使用ODBC資料來源，不要把資料庫名寫在程式中，否則，資料庫名將隨ASP原始碼的失密而一同失密
例如：
conn.open "driver={Microsoft Access Driver (*.mdb)};dbq="&Server.MapPath("../123/abc/asfadf.mdb")
可見，即使資料庫名字起得再怪異，隱藏的目錄再深，ASP原始碼失密後，也很容易被下載下來。
如果使用ODBC資料來源，就不會存在這樣的問題了：conn.open "ODBC-DSN名" ,不過這樣是比較煩的，目錄移動的話又要重新設定資料來源了！

7：添加資料庫名的如MDB的擴充映射
這個方法就是通過修改IIS設定來實現，適合有IIS控制權的朋友，不適合購買虛擬機器主機使用者(除非管理員已經設定了）。這個方法我認為是目前最好的。只要修改一處，整個網站的資料庫都可以防止被下載。無須修改代碼即使暴露目標地址也可以防止下載。

設定：
在 IIS屬性---主目錄---配置---映射---應用程式擴充那裡添加.mdb檔案的應用解析。注意這裡的選擇的DLL（或EXE等）似乎也不是任意的，選擇不當，這個MDB檔案還是可以被下載的，  注意最好不要選擇選擇asp.dll等。你可以自己多測試下
這樣修改後下載資料庫如：http://bbs.bccn.net/data/dvbbs6.mdb。就出現（404或500等錯誤）

8：使用.net的優越性
動網的木鳥就寫過一個防非法下載檔案的“WBAL 防盜鏈工具”。記得本論壇曾經也有位牛人也發表過資料庫防下載的外掛程式，是.dll的載入到IIS裡的。
不過 那個只實現了防止非本地下載的 ，沒有起到真正的防下載資料庫的功能。不過這個方法跟第5種差不多
可以通過修改.NET檔案，實現本地也不能下載！

這幾個方法中，只有第7和8個是統一性改的，一次修改配置後，整個網站的資料庫都可以防止下載，其他幾個就要分別修改資料庫名和串連檔案，比較麻煩，不過對於虛擬機器主機的朋友也只能這樣了！

其實第6種方法應該是第5種方法的擴充，可以實現特殊的功能，但對於不支援.net的主機或者怕設定麻煩的話，還是直接用第5種方法了，而且預設情況下第6種方法，依然可以通過複製串連到同主機的論壇或留言本發表，然後就可以點擊下載了（因為這樣的引用頁是來自同主機的）

這幾個方法各有長短，請自己選擇性地使用。這些方法也不是絕對的安全，還需要網站管理員平時注意一些系統的安全，以及寫ASP代碼本身的安全 ，否則依然有可能被人下載或者修改資料庫！

字串截取的四個函數
一、如果只截取前幾位，使用left
二、如果只截取後幾位，使用right
三、如果只截取中間幾位，使用mid
四、分隔字元截取，使用split

一、left 截取前3位：得到 ABC
<%
dd="ABCDEFGH"
response.write left(dd,3) '從第1位向後數到第3位
%>

二、right 截取後3位,得到 FGH
<%
dd="ABCDEFGH"
response.write right(dd,3) '從最後1位向前數到第3位
%>

三、mid 截取中間3位，得到 DEF
<%
dd="ABCDEFGH"
response.write mid(dd,4,3) '從第4位開始向後數到第3位
%>

四、split 截取分隔字元前後的內容，得到 AB CD EF GH
<%
dd="AB|CD|EF|GH"
response.write split(dd,"|")(0)   '得到內容是 AB
response.write split(dd,"|")(1)   '得到內容是 CD
response.write split(dd,"|")(2)   '得到內容是 EF
response.write split(dd,"|")(3)   '得到內容是 GH

'可以寫成迴圈語句來將分隔字元左右的內容一一顯示出來
for i=0 to 3
    response.write split(dd,"|")(i)&"<br/>"
next

'單獨調用指定分隔字元位置的內容
dim dm(3)  '定義一個迴圈變數
for i=0 to 3
    dm(i)=split(dd,"|")(i)
next

response.write dm(0)   '得到內容是 AB
response.write dm(1)   '得到內容是 CD
response.write dm(2)   '得到內容是 EF
response.write dm(3)   '得到內容是 GH

'如果不確定 dd 裡有多少個分隔字元，使用迴圈參數的時候 to 後面的數字就不能直接寫了，需要統計分隔字元的數量
for i=0 to UBound(split(dd,"|"))
    dm(i)=split(dd,"|")(i)
next
%>

今天來說說SQL資料庫的串連方式：
①SQL2000資料庫本地串連
Set conn=Server.CreateObject("ADODB.Connection")
conn.open "provider=sqloledb;server=(local);database=資料庫名;uid=使用者名稱;pwd=密碼;"

②SQL2000資料庫遠端連線
Set conn=Server.CreateObject("ADODB.Connection")
conn.open "provider=sqloledb;server=200.200.200.200,1433;database=資料庫名;uid=使用者名稱;pwd=密碼;"

③SQL2005資料庫本地串連
Set conn=Server.CreateObject("ADODB.Connection")
conn.open "provider=SQLNCLI;server=(local);database=資料庫名;uid=使用者名稱;pwd=密碼;"

④SQL2005資料庫遠端連線
Set conn=Server.CreateObject("ADODB.Connection")
conn.open "driver={sql server};server=200.200.200.200,1433;database=資料庫名;uid=使用者名稱;pwd=密碼;"

今天來寫一下ASP入門與解說
無論是哪種程式設計語言不外乎就這幾種功能
1.讀取
2.添加
3.修改
4.刪除
5.查詢
6.統計
只要將這幾種功能運用自如，那麼，你就已經會這門語言了

首先我們談談資料庫：
一般ASP使用 ACCESS 和 SQL 資料庫
初學者最好先使用 ACCESS 資料庫，裝個 OFFIEC 就已經內建 ACCESS 資料庫了
ACCESS 版本從 ACCESS98 → ACCESS2000 → ACCESS2003 → ACCESS2007
安裝什麼版本的 OFFIEC 就是什麼版本的 ACCESS

SQL資料庫是微軟的產品，目前一般使用的SQL資料庫為 SQL2000 → SQL2005

ASP讀取資料:
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "select * from 表名 order by id desc",conn,1,1  'order by用來排序 id為排序欄位，desc為倒序,asc為順序，1,1為唯讀，1,3為可操作
do while not rs.eof            '迴圈開始
   response.write rs("abc")      '顯示資料
rs.movenext            '迴圈下一條資料
loop
rs.close            '關閉rs記錄
set rs=nothing            '清除rs記錄集
%>
瞧，讀取資料就這麼簡單

 

ASP添加新資料：
第一種添加方式代碼：
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "select * from 表名",conn,1,3   '這裡添加新資料就不需要排序了，1,3上面我們已經說了，是可對資料庫操作的意思
rs.addnew            '開始新資料
rs("欄位1")="123456"     '將資料添加到欄位1
rs("欄位2")="123456"     '同上
rs.update        '開始向資料庫寫入
rs.close        '關閉rs記錄
set rs=nothing        '清除rs記錄集
%>
這種添加方式適合ACCESS和SQL資料庫的任何方式串連
下面這個添加語句只適合ACCESS的第②種串連方式，同時也適合SQL資料庫任何方式串連
第二種添加方式代碼：
<%
conn.execute "insert into 表名(欄位1,欄位2) values('123456','123456')" '兩個括弧中要一一對應，多個內容添加用逗號隔開
%>
上面這段添加語句唯一不支援ACCESS第①種資料庫連接方式
瞧，添加資料我們也學會了

 

ASP修改資料:
ASP修改資料多數用在查詢指定的資料然後去修改那條資料
第一種修改方式代碼：
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "select * from 表名 where id=10",conn,1,3   'where為查詢開始，查詢條件為id等於10的那條資料
rs("欄位1")="123456"      '無論欄位1中是什麼值，我們都把它改成123456這個值
rs("欄位2")="123456"      '同上
rs.update        '開始向資料庫寫入
rs.close        '關閉rs記錄
set rs=nothing        '清除rs記錄集
%>
瞧，修改與添加不同的是少了個rs.addnew，多了個查詢條件，其它完全相同
第二種修改方式代碼：
<%
conn.execute "update 表名 set 欄位1='123456',欄位2='123456' where id=10" '多個內容修改用逗號隔開
%>
上面這段修改代碼和上面的添加一樣唯一不支援ACCESS第①種資料庫連接方式

 

ASP刪除資料：
刪除資料也用到查詢，如果沒有查詢，那就是將整個表中的所有內容全部刪除了，如果你只需要刪除其中一條，那就必須使用查詢條件
<%
conn.execute "delete 表名 where id=10"  '查詢到id值等於10的那條資料並且刪除
%>
如果是ACCESS資料庫就要加上from,例如:
<%
conn.execute "delete from 表名 where id=10"
%>
瞧，這個刪除語句就這麼簡短，它和上面讀取，添加，修改語句有所不同

 

如果你的資料庫連接使用的是ACCESS第②種方式或者使用的是SQL資料，那麼添加,修改,刪除用起來就很簡單了，像下面這樣

添加：conn.execute "insert into 表名(欄位1,欄位2) values('123456','123456')"
修改：conn.execute "update 表名 set 欄位1='123456',欄位2='123456' where id=10"
刪除：conn.execute "delete 表名 where id=10"

看起來是不是很清爽

 

記住，在讀取，添加，修改，刪除，這四個功能之中只有添加不能帶有查詢條件，其他三個根據自己的需要可以帶查詢條件
一、查詢條件可以多個條件
例如：conn.execute "delete 表名 where 欄位1='123456' and 欄位2='123456' and id=10" 之間用and隔開，and前後一定要空格
      意思是這三個條件必須同時滿足才能查詢出你想要的結果

二、查詢條件可以使用or或者的意思
例如：conn.execute "delete 表名 where 欄位1='123456' or 欄位2='123456' or id=10" 之間用or隔開，or前後一定要空格
      意思是只要查詢的條件滿足其中之一就能查詢出你想要的結果

三、查詢條件還可以使用and和or同時使用
例如：conn.execute "delete 表名 where (欄位1='123456' or 欄位2='123456') and id=10"
      意思是只要查詢條件滿足 欄位1 或者 欄位2 中的一條，並且id等於10的條件，注意：括弧要括起來

以上三種查詢條件適合讀取，修改，刪除三個功能

 

統計使用函數sum,count
統計價格：sum
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "select sum(價格欄位) as price from 表名 order by id desc",conn,1,1  'as就是將統計出來的結果賦值給臨時變數price
   response.write rs("price")      '顯示統計出來的總價格

rs.close
set rs=nothing
%>

統計總數量：recordcount
<%
Set rs=Server.CreateObject("ADODB.Recordset")
rs.open "select * from 表名 order by id desc",conn,1,1
   response.write rs.recordcount      '顯示統計出來的總條數

rs.close
set rs=nothing
%>

代碼是死的，人的大腦是靈活的，就要看你如何去靈活運用吧！