电脑老窝 - 编程

JavaScript实现网页图片等比例缩放效果

sevengo@163.com(小骇) — Mon,16 Feb 2009 11:14:43 +0800

在处理网页图片时，特别是一些图片列表的应用里面，很难保证图片统一大小，直接设置图片大小又会导致图片拉伸，造成图片模糊，本文介绍的代码可以在图片加载完成后自动按比例调整图片大小。

Javascript：

"
  Case "2"
Response.Write ""
  Case "3"
Response.Write ""
End Select
Response.End
End If
End If
Next

'判断提交地点。如不是由服务程序提交则返回首页
referer=Cstr(Request.ServerVariables("HTTP_REFERER"))
ser_name=Cstr(Request.ServerVariables("SERVER_NAME"))
'判断浏览器位置
'response.write "\"& referer &"\"& ser_name
'response.end
'if mid(referer,8,len(ser_name))<>ser_name then
'  response.redirect "/"
'end if
'防止ＳＱＬ注入式攻击代码

二：

'防止ＳＱＬ注入式攻击代码。对请求值进行判断过滤，如果发现可疑代码终止程序执行，并给予提示
   Function SafeRequest(ParaName,ParaType)
Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If not isNumeric(ParaValue) then
Response.write "参数错误" & ParaName & "请不要乱动"
Response.end
End if
Else
ParaValue=replace(ParaValue,"'","''")
End if
SafeRequest=ParaValue
End function
function He(fString)
if fString="" or isnull(fString) then
exit function
end if
    fString = replace(fString, ">", ">")
    fString = replace(fString, "<", "<")

    fString = Replace(fString, CHR(32), " ")
    fString = Replace(fString, CHR(9), " ")
    fString = Replace(fString, CHR(34), """)
    fString = Replace(fString, CHR(39), "'")
    fString = Replace(fString, CHR(13), "")
    fString = Replace(fString, CHR(10) & CHR(10), "

")
    fString = Replace(fString, CHR(10), "
")

    'fString=ChkBadWords(fString)
    He = fString
end function
function Unhe(fString)
if fString="" or isnull(fString) then
exit function
end if
    fString = replace(fString, ">", ">")
    fString = replace(fString, "<", "<")
    fString = Replace(fString, " ",CHR(32) )
    fString = Replace(fString, " ",CHR(9) )
    fString = Replace(fString, """, CHR(34))
    fString = Replace(fString, "'", CHR(39))
    fString = Replace(fString, "", CHR(13))
    fString = Replace(fString, "

", CHR(10) & CHR(10))
    fString = Replace(fString, "
", CHR(10))
    fString = Replace(fString," "," ")
    'fString=ChkBadWords(fString)
    unHe = fString
end function

action=request("action")

过滤代码方法的应用
catalogID=saferequest("catalogID",1)
productid=saferequest("productid",1)

type_id=saferequest("type_id",1)
if type_id="" or not isnumeric(type_id) then
  type_id=0
else
  type_id=cint(type_id)
end if

'防止ＳＱＬ注入式攻击代码

三：
'防止ＳＱＬ注入式攻击代码主要用在数据库连接文件上将此文件放在数据库连接前面将会自动加载
dim sql_str_gj
SQL_str_gj = "’|""|{|}|[|]|\|:|;|<|>|?|,|.|`|~|!|@|$|%|^|(|)|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|or"
SQL_str = split(SQL_str_gj,"|")
’防止Get方法注入
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then
Response.Write ""
Response.end
end if
next
Next
End If
’防止Post方法注入
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
Response.Write ""
Response.end
end if
next
next
end if
%>
'防止ＳＱＬ注入式攻击代码

四：
'防止ＳＱＬ注入式攻击代码
<%

'--------自定义比较常见的特殊字符串主要用于页面之间传参之间的判断，此效果跟saferequest(str,n)效果是一样的如果有比较特殊的页面可以直接在lj_in里面加上特殊字符------------------
Dim lj_Post,lj_Get,lj_In,lj_Inf,lj_Xh,lj_db,lj_dbstr
'自定义需要过滤的字串,用 "|" 分隔
lj_In = "'|;|and|exec|insert|select|delete%20from|update|count|*|%|chr|mid|master|truncate|char|declare|drop%20table|from|net%20user|xp_cmdshell|/add|net%20localgroup%20administrators|Asc|char"
'----------------------------------
%>

<%
lj_Inf = split(lj_In,"|")
'--------POST部份------------------
If Request.Form<>"" Then
For Each lj_Post In Request.Form

For lj_Xh=0 To Ubound(lj_Inf)
If Instr(LCase(Request.Form(lj_Post)),lj_Inf(lj_Xh))<>0 Then
Response.Write ""
Response.Write "非法操作！系统做了如下记录↓
"
Response.Write "操作ＩＰ："&Request.ServerVariables("REMOTE_ADDR")&"
"
Response.Write "操作时间："&Now&"
"
Response.Write "操作页面："&Request.ServerVariables("URL")&"
"
Response.Write "提交方式：ＰＯＳＴ
"
Response.Write "提交参数："&XH_Post&"
"
Response.Write "提交数据："&Request.Form(lj_Post)
Response.End
End If
Next

Next
End If
'----------------------------------

'--------GET部份-------------------
If Request.QueryString<>"" Then
For Each lj_Get In Request.QueryString

For lj_Xh=0 To Ubound(lj_Inf)
If Instr(LCase(Request.QueryString(lj_Get)),lj_Inf(lj_Xh))<>0 Then
Response.Write ""
Response.Write "非法操作！系统做了如下记录↓
"
Response.Write "操作ＩＰ："&Request.ServerVariables("REMOTE_ADDR")&"
"
Response.Write "操作时间："&Now&"
"
Response.Write "操作页面："&Request.ServerVariables("URL")&"
"
Response.Write "提交方式：ＧＥＴ
"
Response.Write "提交参数："&lj_Get&"
"
Response.Write "提交数据："&Request.QueryString(lj_Get)
Response.End
End If
Next
Next
End If
'----------------------------------
%>

'防止ＳＱＬ注入式攻击代码

五：
'防止ＳＱＬ注入式攻击代码此主要用于传参之前的总体判断如留言板这类的提交参数
其中n1,n2...是代表传入的参数
<%requeststr=request("n1")&request("n2")&request("n3")&request("n4")
substr="href"
substr1="www"
substr2="http"
substr3="url"
if InstrRev(requeststr,substr)="0" and InstrRev(requeststr,substr1)="0" and InstrRev(requeststr,substr2)="0" and InstrRev(requeststr,substr3)="0"    then%>

程序代码正文

<%
end if
%>

'防止ＳＱＬ注入式攻击代码

ASP六大对象介绍

sevengo@163.com(小骇) — Tue,20 Jan 2009 17:05:20 +0800

Application对象

Application对象是个应用程序级的对象，用来在所有用户间共享信息，并可以在Web应用程序运行期间持久地保持数据。

Application的属性：

方法如下：

Application对象没有内置的属性，但是我们可以自行创建其属性。

<% Application("属性名")=值 %>

其实大部分Application变量都　存放在Contents集合中，当你创建一个新的Application变量时，其实就是在Contents集合中添加了一项。下面两个脚本是等效的：

<% Application("greeting")="hello!" %> 或 <% Application.contents("greeting")="hello!"由于Application变量存在集合里，所以如果想要全部显示，其方法我们已经多次使用，例如For Each循环。

以下为引用的内容：
<%
For Each item IN Application.Contents
Response.write("
"&item&Application.Contents(item))
next
%>

Application的方法：

Application的方法只有两个方法：一个是Lock，另一个是Unlock。其中Lock方法用于保证同一时刻只能一个用户对Application操作。Unlock则用于取消Lock方法的限制。如：

以下为引用的内容：
<%
Application.Lock
Application("visitor_num")=Application("visitor_num") 1
Application.Unlock
%>

Application的事件：

1、Application_OnStart()

当事件应用程序启动时触发。

2、Application_OnEnd()

此事件应用程序结束时触发。

这两个事件过程都是必须定义在Global.asp文件中，一般把连接数据的函数定义在这两个事件，然后放在Global.asp中。例如：

以下为引用的内容：
Sub Application_OnStart
Application("tt18_ConnectionString") = "driver={SQL
Server};server=jeff;uid=sa;pwd=;database=test"
End Sub

一个数组能够被定义成Application对象，不过这个数组只能作为一个对象保存，而不能用Application(0)取出其值。可以定义一个临时数组实现这种功能。如：

以下为引用的内容：
<%
dim Array()
Array=Application("array")
for i = 0 to ubound(array)
Response.write Array(i)
next i
%>

同样要修改这个Application对象也可以定义一个临时数组，把Application对象赋给数组，然后修改这个数组的元素，最后把数组赋回
Application对象。如：

以下为引用的内容：
<%
dim Array()
Array=Application("array")
Array(0)="jeff"
Array(1)="zhu"
Application.lock
Application("array")=Array
Application.unlock
%>

ObjectContext对象

该对象用于控制Active Server Pages的事务处理。事务处理由Microsoft Transaction Server (MTS)管理。

事件

ObjectContext.OnTransactionAbort

由放弃的事务处理事件激发，在脚本完成处理后发生。

ObjectContext.OnTransactionCommit

由成功的事务处理事件激发，在脚本完成处理后发生。

方法

ObjectContext.SetAbort

显式的放弃一次事务处理。

ObjectContext.SetComplete

覆盖前面任何调用ObjectContext.SetAbort方法的调用。

Request对象

Request对象用于接受所有从浏览器发往你的服务器的请求内的所有信息。

集合

Request.ClientCertificate(key[SubField])

所有客户证书的信息的集合。对于Key，该集合具有如下的关键字：

Subject

证书的主题。包含所有关于证书收据的信息。能和所有的子域后缀一起使用。

Issuer

证书的发行人。包含所有关于证书验证的信息。除了CN外，能和所有的子域后缀一起使用。

VadidFrom

证书发行的日期。使用VBscript格式。

ValidUntil

该证书不在有效的时间。

SerialNumber

包含该证书的序列号。

Certificate

包含整个证书内容的二进制流，使用ASN.1格式。

对于SubField，Subject和Issuer关键字可以具有如下的子域后缀：（比如：SubjectOU或IssuerL）

C

起源国家。

O

公司或组织名称。

OU

组织单元。

CN

用户的常规名称。

L

局部。

S

州（或省）。

T

个人或公司的标题。

GN

给定名称。

I

初始。

当文件cervbs.inc(VBscript使用)或cerJavas.inc(Jscript使用)通过使用#INCLUDE导向包含在你的Active Server Page里时，下面两个标志可以使用：

ceCertPresent

指明客户证书是否存在，其值为TRUE或FALSE。

ceUnrecongnizedIssure

指明在该链表中的最后的证书的发行者是否未知，其值为TRUE或FALSE。

Request.Cookies(Cookie[(key).Attribute])

Cookie的集合。允许获得浏览器的Cookie。Cookie指明返回那一个Cookie。Key用于从Cookie字典中返回具有某一关键字的Cookie值。对于Attribute，你能使用属性HasKeys来确定某一Cookie是否具有子关键字。HasKeys的值为TRUE或FALSE。

Request.Form(Parameter)[(Index).Count]

填写在HTML的表单中所有的数据的集合。Parameter是在HTML表单中某一元素的名称。当某一参数具有不止一个值（比如，当在中使用MULTIPLE属性时）时，使用Index。当某一参数具有多值时，Count指明多值个数。

Request.QueryString(Varible)[(Index).Count]

查询字符串的所有值的集合。Varible是在查询字符串某一变量的名称。当某一变量具有多于一个值时，使用Index。当某一参数具有多值时，Count指明值的个数。

Request.ServerVaribles(Server Environment Variable)

环境变量的集合。允许读取HTTP头。你可以通过使用HTTP_前缀来读取任何头信息。比如，HTTP_USER_AGENT接受客户代理HTTP头（浏览器类型）。除此外，你可以使用下表所示的变量获得任何环境信息。

ALL_HTTP

客户端发送的所有HTTP标头，他的结果都有前缀HTTP_。

ALL_RAW

客户端发送的所有HTTP标头,其结果和客户端发送时一样，没有前缀HTTP_

APPL_MD_PATH

应用程序的元数据库路径。

APPL_PHYSICAL_PATH

与应用程序元数据库路径相应的物理路径。

AUTH_PASSWORD

当使用基本验证模式时，客户在密码对话框中输入的密码。

AUTH_TYPE

这是用户访问受保护的脚本时，服务器用于检验用户的验证方法。

AUTH_USER

代验证的用户名。

CERT_COOKIE

唯一的客户证书ID号。

CERT_FLAG

客户证书标志，如有客户端证书，则bit0为0。如果客户端证书验证无效，bit1被设置为1。

CERT_ISSUER

用户证书中的发行者字段。

CERT_KEYSIZE

安全套接字层连接关键字的位数，如128。

CERT_SECRETKEYSIZE

服务器验证私人关键字的位数。如1024。

CERT_SERIALNUMBER

客户证书的序列号字段。

CERT_SERVER_ISSUER

服务器证书的发行者字段

CERT_SERVER_SUBJECT

服务器证书的主题字段。

CERT_SUBJECT

客户端证书的主题字段。

CONTENT_LENGTH

客户端发出内容的长度。

CONTENT_TYPE

客户发送的form内容或HTTP PUT的数据类型。

GATEWAY_INTERFACE

服务器使用的网关界面。

HTTPS

如果请求穿过安全通道（SSL），则返回ON。如果请求来自非安全通道，则返回OFF。

HTTPS_KEYSIZE

安全套接字层连接关键字的位数，如128。

HTTPS_SECRETKEYSIZE

服务器验证私人关键字的位数。如1024。

HTTPS_SERVER_ISSUER

服务器证书的发行者字段。

HTTPS_SERVER_SUBJECT

服务器证书的主题字段。

INSTANCE_ID

IIS实例的ID号。

INSTANCE_META_PATH

响应请求的IIS实例的元数据库路径。

LOCAL_ADDR

返回接受请求的服务器地址。

LOGON_USER

用户登录Windows NT的帐号

PATH_INFO

客户端提供的路径信息。

PATH_TRANSLATED

通过由虚拟至物理的映射后得到的路径。

QUERY_STRING

查询字符串内容。

REMOTE_ADDR

发出请求的远程主机的IP地址。

REMOTE_HOST

发出请求的远程主机名称。

REQUEST_METHOD

提出请求的方法。比如GET、HEAD、POST等等。

script_NAME

执行脚本的名称。

SERVER_NAME

服务器的主机名、DNS地址或IP地址。

SERVER_PORT

接受请求的服务器端口号。

SERVER_PORT_SECURE

如果接受请求的服务器端口为安全端口时，则为1，否则为0。

SERVER_PROTOCOL

服务器使用的协议的名称和版本。

SERVER_SOFTWARE

应答请求并运行网关的服务器软件的名称和版本。

URL

提供URL的基本部分。

方法

Request.BinaryRead(Count)

接收一个HTML表单的未经过处理的内容。当调用此方法时，Count指明要接收多少字节。在调用此方法后，Count指明实际上接收到多少个字节。

属性

Request.TotalBytes

查询体的长度，以字节为单位

Response对象

Response对象用于向客户端浏览器发送数据，用户可以使用该对象将服务器的数据以HTML的格式发送到用户端的浏览器，它与Request组成了一对接收、发送数据的对象，这也是实现动态的基础。下面介绍它常用的属性和方法。

1、Buffer属性

该属性用于指定页面输出时是否要用到缓冲区，默认值为False。当它为True时，直到整个Active Server Page执行结束后才会将结果输出到浏览器上。如：

以下为引用的内容：
<%Response.Buffer=True%>

Buffer示例

<%
for i=1 to 500
response.write(i & "
")
next
%>



这页执行时，整个主页的所有内容会同时显示在浏览器上，这个主页会存在缓存区中直到脚本执行结束。

2、Expires属性

该属性用于设置浏览器缓存页面的时间长度（单位为分），必须在服务器端刷新。通过如下设置：

<%Response.Expires=0%>

通过在ASP文件中加入这一行代码，要求每次请求是刷新页面，因为Response一收到页面就会过期。

3、Write方法

该方法把数据发送到客户端浏览器，如：

<%Response.write "Hello,world!"%>

4、Redirect方法

该方法使浏览器可以重新定位到另一个URL上，这样，当客户发出Web请求时，客户端的浏览器类型已经确定，客户被重新定位到相应的页面。如：

以下为引用的内容：

Redirect示例

　　以上是提交的表单，下面是处理表单的文件formjump.asp：
<%response.buff=true%>

Redirect示例

<%
thisurl="http://www.tinyu.com/";
where=Request.form("wheretogo")
Select Case where
case "fun"
response.redirect thisurl & "/fun/default.asp"
case "news"
response.redirect thisurl & "/news/default.asp"
case "sample"
response.redirect thisurl & "/sample/default.asp"
End Select
%>

这个例子当用户选择了以后，按"Jump"按钮提交表单，服务器接到申请后调用formjump.asp判断后定位到相应的URL。不过这里有一点要注意，HTTP标题已经写入到客户浏览器，任何HTTP标题的修改必须在写入页内容之前，遇到这种问题时，可以如下做：

在文件的开始<@ Language=..>后写：

Response.Buffer=True

在结尾定：

Response.Flush

这里Flush是Response的一个方法，它必须是Buffer属性设置为True时才能使用，否则会产生一个运行模式错误。另外一个Clear方法也是用于清除被缓存的页面，同样要Buffer属性设置为True时才能使用。

5、End方法

该方法用于告知Active Server当遇到该方法时停止处理ASP文件。如果Response对象的Buffer属性设置为True，这时End方法即把缓存中的内容发送到客户并清除冲区。所以要取消所有向客户的输出民，可以先清除缓冲区，然后利用End方法。如：

以下为引用的内容：
<%
Response.buffer=true
On error resume next
Err.clear
if Err.number<>0 then
Response.Clear
Response.End
end if
%>

Server 对象

Server 对象提供对服务器上的方法和属性的访问。其中大多数方法和属性是作为实用程序的功能服务的。

语法

Server.property|method

属性

scriptTimeout：

scriptTimeout 属性指定脚本在结束前最大可运行多长时间。当处理服务器组件时，超时限制将不再生效。

语法 Server.scriptTimeout = NumSeconds

参数 NumSeconds

指定脚本在被服务器结束前最大可运行的秒数。默认值为 90 秒。

注释

通过使用元数据库中的AspscriptTimeout属性可以为 Web 服务或 Web 服务器设置缺省的scriptTimeout值。scriptTimeout属性不能设置为小于在元数据库中指定的值。例如，如果NumSeconds设置为10，而元数据库设置包含了默认值90秒，则脚本在90秒后超时。但如果NumSeconds设置为100，则脚本在100秒后超时。

关于使用元数据库的详细信息，参阅关于元数据库。

示例以下示例中，如果服务器处理脚本超过 100 秒，将使之超时。

<% Server.scriptTimeout = 100 %>

以下示例获取 scriptTimeout 属性当前值，并将其存储在变量 TimeOut 中。

<% TimeOut = Server.scriptTimeout %>

方法

CreateObject

CreateObject 方法创建服务器组件的实例。如果该组件执行了 OnStartPage 和 OnEndPage 方法，则此时就会调用 OnStartPage 方法。有关服务器组件的详细信息，请参阅可安装的 ASP 组件。

语法 Server.CreateObject( progID )

参数 progID 指定要创建的对象的类型。progID 的格式为 [Vendor.] component[.Version]。

注释默认情况下，由 Server.CreateObject 方法创建的对象具有页作用域。这就是说，再当前 ASP 页处理完成之后，服务器将自动破坏这些对象。要创建有会话或应用程序作用域的对象，可以使用标记并设置 session 或 APPLICATION 的 SCOPE 属性，也可以在对话及应用程序变量中存储该对象。

例如，在如下所示的脚本中，当 session 对象被破坏，即当对话超时时或 Abandon 方法被调用时，存储在会话变量中的对象也将被破坏。

<% Set session("ad") = Server.CreateObject("MSWC.AdRotator")%>

可以通过将变量设置为 Nothing 或新的值来破坏对象，如下所示。第一个例子释放 ad 对象，第二个例子用字串代替 ad 。

<% session ("ad") = Nothing %>

<% session ("ad") = " Other Valum " %>

不能创建与内建对象同名的对象实例。例如，下列脚本将返回错误。

<% Set Response = Server.CreateObject("Response") %>

示例 <% Set MyAd = Server.CreateObject("MSWC.AdRotator") %>

上面的例子创建一个名为 MyAd 的 MSWC.AdRotator 服务器组件，MSWC.AdRotator 组件可用于在 Web 页上的自动轮换广告。

关于服务器组件的详细信息, 请参阅 Creating Components for ASP.

HTMLEncode HTMLEncode方法对指定的字符串应用 HTML 编码。

语法 Server.HTMLEncode( string )

参数 string 指定要编码的字符串。

示例脚本 <%= Server.HTMLEncode("The paragraph tag:

") %>

输出 The paragraph tag:

注意以上输出将被 Web 浏览器显示为The paragraph tag:

如果查看一下源文件或以文本方式打开一个 Web 页，您就可以看到已编码的 HTML。

MapPath

MapPath 方法将指定的相对或虚拟路径映射到服务器上相应的物理目录上。

语法

Server.MapPath( Path )

参数

Path

指定要映射物理目录的相对或虚拟路径。若 Path 以一个正斜杠 (/) 或反斜杠 (\) 开始，则 MapPath 方法返回路径时将 Path 视为完整的虚拟路径。若 Path 不是以斜杠开始，则 MapPath 方法返回同 .asp 文件中已有的路径相对的路径。

注释

MapPath 方法不支持相对路径语法 (.) 或 (..)。例如，下列相对路径 ../MyDir/MyFile.txt 返回一个错误。

MapPath 方法不检查返回的路径是否正确或在服务器上是否存在。

因为 MapPath 方法只映射路径而不管指定的目录是否存在，所以，您可以先用 MapPath 方法映射物理目录结构的路径，然后将其传递给在服务器上创建指定目录或文件的组件。

示例

对于下列示例，文件data.txt和包含下列脚本的test.asp文件都位于目录C:\Inetpub\Wwwroot\script下。C:\Inetpub\Wwwroot目录被设置为服务器的宿主目录。

下列示例使用服务器变量 PATH_INFO 映射当前文件的物理路径。脚本

<%= server.mappath(Request.ServerVariables("PATH_INFO"))%>

输出

c:\inetpub\wwwroot\script\test.asp

由于下列示例中的路径参数不是以斜杠字符开始的，所以它们被相对映射到当前目录，此处是 C:\Inetpub\Wwwroot\script。脚本

<%= server.mappath("data.txt")%>

<%= server.mappath("script/data.txt")%>

输出

c:\inetpub\wwwroot\script\data.txt

c:\inetpub\wwwroot\script\script\data.txt

接下来的两个示例使用斜杠字符指定返回的路径应被视为在服务器的完整虚拟路径。脚本

<%= server.mappath("/script/data.txt")%>

<%= server.mappath("\script")%>

输出

c:\inetpub\script\data.txt

c:\inetpub\script

下列示例演示如何使用正斜杠 (/) 或反斜杠 (\) 返回宿主目录的物理路径。脚本

<%= server.mappath("/")%>

<%= server.mappath("\")%>

输出

c:\inetpub\wwwroot

c:\inetpub\wwwroot

URLEncode

URLEncode 方法将 URL 编码规则，包括转义字符，应用到指定的字符串。

语法

Server.URLEncode( string )

参数

String 指定要编码的字符串。

示例

脚本 <%Response.Write(Server.URLEncode("http://www.tinyu.com";)) %>

输出 http://www.tinyu.com

session对象

Session其实指的就是访问者从到达某个特定主页到离开为止的那段时间。每一访问者都会单独获得一个Session。在Web应用程序中，当一个用户访问该应用时，Session类型的变量可以供这个用户在该Web应用的所有页面中共享数据；如果另一个用户也同时访问该Web应用，他也拥有自己的Session变量，但两个用户之间无法通过session变量共享信息，而Application类型的变更则可以实现站点多个用户之间在所有页面中共享信息。

1、sessionID属性

该属性返回当前会话的唯一标志，为每一个session分配不同的编号。

我曾在开发过程中就遇到对用户的控制问题。它要实现的功能就是，针对某个网站的一个模块，当一个会员登录后正在看此模块时，另一个人用同样的会员名登录，就不能浏览这个模块。也就是说一个会员名同时只能一个人浏览此模块。我通过用会员名（假设为UserID，唯一）和SessionID来实现了控制。当会员登录时，给这个会员一个Session记录登录状态如：Session("Status")="Logged"，同时把这个会员的Session.sessionID写入数据库。当他要浏览此模块时，先判断其是否登录，若已经登录再判断它的sessionID是否与数据库记录的相同，如果不同则不能访问。这样，当另一个用户用相同的会员名登录时，那么数据库中记录的就是新的sessionID，前者访问此模块时就不能通过检查。这就实现了一个会员名同时只能一个人浏览某个模块。这个功能在一些收费网站有很有特别作用，它防止了一个会员名给多个人浏览的问题，为公司保障了利益。

2、TimeOut属性

该属性用来定义用户Session对象的时限。如果用户在规定的时间内没有刷新网页，则session对象就会终止。一般默认为20分钟。

3、Abandon方法

该方法是Session对象的唯一方法，可以清除Session对象，用来消除用户的Session对象并释放其所占的资源。如： <% session.Abandon %>

4、Session_OnStart和session_OnEnd事件

和Application一样，当对象的例程每一次启动时触发Session_OnStart事件，然后运行session_Onstart事件的处理过程。也就是说，当服务器接收到应用程序中的URL的HTTP请求时，触发此事件，并建立一个session对象。同理，这个事件也必须定在Global.asa文件中。

当调用Session.Abandon方法时或者在TimeOut的时间内没有刷新，这会触发Session_OnEnd事件，然后执行里面的脚本。Session变量与特定的用户相联系，针对某一个用户赋值的Session变量是和其他用户的session变量完全独立的，不会存在相互影响。
session应用一列：

与Application一样，一个被定义为Session类型的数组只能将整个数组作为一个对象，用户不能直接改变Session数组中某个元素的值。为了创建一个Session数组，需先定义一个普通的数组，并对它的每一个元素赋初值，最后把它定义为一个session数组。如：

以下为引用的内容：

<%
dim array()
array=array("李","明","男")
session("info")=array
Response.write session("info")(0) &"-"
Response.write session("info")(1) &"-"
Response.write session("info")(2) &"
"
%>

<%
array(0)="天"
array(1)="宇"
array(2)="男"
session("info")=array
Response.write session("info")(0) & "-"
Response.write session("info")(1) & "-"
Response.write session("info")(2) & "
"
%>

select from where 等的执行次序

sevengo@163.com(小骇) — Mon,19 Jan 2009 16:20:34 +0800

select
from
where
group by
having
order
这6个句子的执行是有一定次序的,而新手往往注意不到这一点
其中,
order by永远是最后一个执行
select是倒数第2个然后是依次执行
from
where
group by
having
每执行一个语句,系统的后台就生成一个中间结果表.
就是我上面写的比如:from从句的中间结果表，这样理解:在SQL语句执行完毕之后,得到我们想要的结果.
其他的系统后台行为,肯定是执行完,就算了

response的属性和方法

sevengo@163.com(小骇) — Mon,19 Jan 2009 11:57:07 +0800

Response的属性和方法Response就是响应服务起器对浏览器请求的文件或数据，可以重定向，发送给浏览器，设置cookie
Response属性:
(1)Buffer属性，用语指定是否缓冲输出，常与后面的Clear,Flush,或End方法配合使用.为正确使用这些方法，Bluffer属性应在Asp文件的第一行被设置，如Response.Buffer
(2)Charset属性.该属性将字符集名称附加到Response对象中Content-type标题的后面。对不含该属性的ASP页面，Content-type标题为:Content-type:text/html
(3)ContentType属性。指定服务器响应的HTTP内容类型。若为指定该属性，默认为"text/html"
(4)Expires属性.这是一个很实用的属性，用语指定浏览器上缓冲存储的也面离过时还有多少时间，若用户在某个页面过期又回到该页，就会显示缓冲区中的页面，若设Response.Expires=0,着可使缓存中的页面立即过期
(5)ExpiresAbsolute属性。用语指定缓存在浏览器中的页面确切的到过期日期和时间。在到过期之前，若用户又返回该页，则显示缓存中的页面，若为指定时间，则该页面当天午夜过期，若为指定日期，则在给页面在脚本运行当天的指定时间到期，例如<%Response.ExpiresSbsolute=#Mar 10,2001 9:30:20#%>
(6) Status
Response方法
(1)clear 方法。用语清除缓冲区中的所用的HTML输出的正文，但不清楚标题，当Response.Buffer设为true时，clear方法使用时才不会出错。该方法可处理错误情况
(2)End 方法.该方法可使用Web服务器停止处理脚本并返回当前的处理结果，如果此时Response.Buffer为true，可调用Response.End可将缓存输出
(3)Flush方法，用于立即发送缓存区中的输出，若Response.Buffer不为true，会导致输出错误
(4)Redirect方法,使浏览器立即重定向到程序指定的URL地址。一旦使用了该方法。任何在页中显式设置的响应正文内容都将被忽略。但此方法不向客户端发送该页设置的其他HTTP标题，而是产生一个将重定向URL作为链接高寒的自动响应正文。如:
<%Response.redirect"http://www.sohu.com"%>
(5)Write方法。该方法使用最多，其作用是将指定的表达式的值写到当前的HTTP网叶上输出。
(6)AddHeader
(7) AppendTolog
Response的集合
Response只有一个集合就是cookie.
语法格式: Response.Cookie.cookie名[(key)|attribute]=cookie值

编写通用的ASP防SQL注入攻击程序

sevengo@163.com(小骇) — Mon,19 Jan 2009 11:56:27 +0800

SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味，发现现在大部分黑客入侵都是基于SQL注入实现的，哎，谁让这个入门容易呢，好了，不说废话了，现在我开始说如果编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可，所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。

　　IIS传递给asp.dll的get 请求是是以字符串的形式，，当传递给Request.QueryString数据后，asp解析器会分析Request.QueryString的信息，，然后根据"&"，分出各个数组内的数据所以get的拦截如下：

　　首先我们定义请求中不能包含如下字符：

'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare

　　各个字符用"|"隔开，，然后我们判断的得到的Request.QueryString，具体代码如下：

dim sql_injdata
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString＜＞"" Then
　For Each SQL_Get In Request.QueryString
　　For SQL_Data=0 To Ubound(SQL_inj)
　　　if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))＞0 Then
　　　　Response.Write "＜Script Language=****＞alert('天下电影联盟SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入！');history.back(-1)＜/Script＞"
　　　　Response.end
　　　end if
　　next
　Next
End If

　　这样我们就实现了get请求的注入的拦截，但是我们还要过滤post请求，所以我们还得继续考虑request.form,这个也是以数组形式存在的，我们只需要再进一次循环判断即可。代码如下：

If Request.Form＜＞"" Then
　For Each Sql_Post In Request.Form
　　For SQL_Data=0 To Ubound(SQL_inj)
　　　if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))＞0 Then
　　　　Response.Write "＜Script Language=****＞alert('天下电影联盟SQL通用防注入系统提示↓nn请不要在参数中包含非法字符尝试注入！nnHTTP://www.521movie.com ');history.back(-1)＜/Script＞"
　　　　Response.end
　　　end if
　　next
　next
end if

　　好了大功告成，我们已经实现了get和post请求的信息拦截，你只需要在conn.asp之类的打开数据库文件之前引用这个页面即可。放心的继续开发你的程序，不用再考虑是否还会受到SQL注入攻击。难道不是么？

asp:Property解释与例子

sevengo@163.com(小骇) — Mon,19 Jan 2009 11:42:54 +0800

Property Get 语句
在 Class 块中，声明构成用来取得（返回）的值的属性过程的主体的名称、参数和代码。
[Public [Default]| Private] Property Get name [(arglist)]
[statements]
[[Set] name = expression]
[Exit Property]
[statements]
[[Set] name = expression]
End Property
参数
Public
表明Property Get 过程可以被所有脚本中的其他过程访问。
Default
只与 Public 关键字一起使用，表明 Property Get 过程中定义的属性为类的缺省属性。
Private
表明 Property Get 过程只对定义它的 Class 块中的其他过程是可以访问的。
name
Property Get 过程的名称；遵守标准的变量命名规则，区别仅仅在于它可以与同一Class块中的Property Let 或 Property Set过程。
arglist
该变量列表代表了 Property Get 过程被调用时传递给它的参数。多个参数之间用逗号分隔开。Property Get 过程中的每个参数的名称必须与 Property Let 过程中的相应参数相同(如果有的话)。
statements
任意的一组语句，将在 Property Get 过程的主体中执行。
Set
在将对象作为 Property Get 过程的返回值时使用的关键字。
expression
Property Get 过程的返回值。
说明
如果未使用 Public 或 Private明确声明，则 Property Get 过程被缺省为公有的，即它们对于脚本中的其他所有过程都是可见的。Property Get过程中的局部变量的值在不同的过程调用之间是不保存的。
在其他任何过程(例如 Function 或 Property Let) 内部都不能定义 Property Get 过程。
Exit Property 语句将导致立即从 Property Get 过程中退出。程序将继续执行调用 Property Get 过程的语句之后的程序。Exit Property 语句可以出现在 Property Get 过程中的任何位置，次数不限。
与Sub 和 Property Let 过程类似，Property Get 过程是能够接受参数的过程，可以执行一系列的语句，以及改变参数的值。然而，与Sub 和 Property Let 不同的是，Property Get 过程可以被用于表达式的右侧，用与使用Function 或属性名称相同的方式来返回属性的值。
例子：
Class myClass1
Public a1,a2
Public Property Get a3(ByVal a5)
a3=a5＆" good"
End Property
End Class

Dim x
Set x=New myClass1
response.Write("x.a1+x.a2="＆x.a3("中国")＆"〈br〉")
x.a1=1
x.a2=2
Response.Write("x.a1="＆x.a1＆"〈br〉")
Response.Write("x.a2="＆x.a2＆"〈br〉")
运行结果为：
x.a1+x.a2=中国 good
x.a1=1
x.a2=2
对属性只读
==============================================================================
Property Let 语句
在 Class 块中，声明名称、参数和代码等，它们构成了赋值（设置）的 Property 过程的主体。
[Public | Private] Property Let name ([arglist,] value
)
[statement]
[Exit Property]
[statement]
End Property
参数
Public
表明 Property Let 过程可以被所有脚本中的其他所有过程访问。
Private
表明 Property Let 过程只能被定义之的 Class 块内的其他过程访问。
name
Property Let 过程的名称；遵守标准的变量命名规则，区别仅仅在于其名称可以与相同 Class 块中的 Property Get 或 Property Set 过程相同。
arglist
该变量列表代表了在调用时被传递到 Property Let 过程的参数。多个参数之间用逗号隔开。Property Let 过程的每个参数的名字必须与 Property Get 过程中的相应参数相同。此外， Property Let 过程的参数比相应的 Property Get 过程总要多一个。该参数为被赋予属性的值。
value
该变量中包含要赋予属性的值。当过程被调用时，该参数将出现在调用表达式的右侧。
statement
任意的一组语句，将在 Property Let 过程的主体内执行。
注意每个 Property Let 语句必须为所定义的属性定义至少一个参数。该参数（在存在多个参数时的最后一个参数）包含了当 Property Let 语句被调用时要赋予属性的值。该参数在前面的语法中被称为value。
说明
如果未明确地使用 Public 或 Private进行指定，Property Let 过程被缺省设置为公有的，即它们对于脚本内的其他所有过程都是可见的。Property Let过程中的局部变量的值在不同的过程调用之间是不被保存的。
在其他任何过程（例如 Function 或 Property Get）的内部不能够定义 Property Let 过程。
Exit Property 语句将导致立即从 Property Let 过程中退出。程序将从调用 Property Let 过程的语句之后的点继续执行。Exit Property 语句可以出现在 Property Let 过程中的任何位置，次数不限。
与 Function 和 Property Get 过程类似，Property Let 过程是一个单独的过程，它可以接受参数，执行一系列的语句，还可以改变参数的值。不过，与Function 和 Property Get 过程不同的是，它们两者都返回一个值，而Property Let过程只能用于属性赋值表达式的左侧。
例子：
Class myClass1
Public a1,a2
Public Property Let a3(ByVal a5)
a3=a5 ＆ " good"
a1=a5
End Property
End Class

Dim x
Set x=New myClass1
x.a3=8
response.Write("x.a1+x.a2="＆x.a1＆"〈br〉")
x.a1=1
x.a2=2
Response.Write("x.a1="＆x.a1＆"〈br〉")
Response.Write("x.a2="＆x.a2＆"〈br〉")
运行结果为：
x.a1+x.a2=8
x.a1=1
x.a2=2

对属性只写，必须有一个参数用于接受外来的赋值
===================================================================================
Property Set 语句
在 Class 块中，声明名称、参数和代码，这些构成了将引用设置到对象的 Property 过程的主体。
[Public | Private] Property Set name(
[arglist,] reference
)
[statement]
[Exit Property]
[statement]
End Property
参数
Public
表明 Property Set 过程可以被所有脚本中的其他所有过程访问。
Private
表明 Property Set 过程只能被声明之的同一 Class 块中的其他过程访问。
name
Property Set 过程的名称；遵守标准的变量命名规则，不过该名称可以与同一个 Class 块中的 Property Get 或 Property Let 过程相同。
arglist
变量列表，代表在 Property Set 过程被调用时传递给它的参数。多个参数之间用逗号分隔开。此外，Property Set 过程将总是比它相应的 Property Get 过程多一个参数。这个多出来的参数是被赋予的对象。
reference
变量，其中包含被用于对象引用赋值的右侧的对象引用。
statement
将要在 Property Set 过程主体中执行的任何一组语句。
注意每个 Property Set 语句都必须为所定义的过程定义至少一个参数。当 Property Set 语句所定义的过程被调用时，该必需参数（在多个参数时为最后一个参数）中将为属性提供实际的对象引用。在前面的语法中，该参数被称为引用。
说明
除非使用 Public 或 Private 明确地进行指定，否则 Property Set 过程被设置为缺省的公有模式，即脚本中的其他所有过程都是可见的。在不同的过程调用时，Property Set 过程中的局部变量是不保存的。
在其他任何过程（例如Function或Property Let）中都不能够定义Property Set过程。
Exit Property 语句将导致立即从 Property Set 过程中退出。程序将继续执行调用 Property Set 过程之后的语句。Exit Property 语句的数量不受限制，可以出现在 Property Set 过程中的任何位置。
与 Function 和 Property Get 过程类似，Property Set 过程是一个单独的过程，它可以有若干参数，执行一系列的语句，还可以改变参数的值。然而，与 Function 和 Property Get 过程不同的是，函数和过程都可以返回值，而 Property Set 过程对象引用赋值（Set 语句）的左侧。
例子：
Class myClass1
Public a1,a2
Private a5
Public Property Set a3(reference)
Dim conn,connStr
connStr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" ＆ Server.MapPath("count.mdb")
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open connStr
reference.open "Select * FROM wenzi",conn,1,1
a5=reference.recordcount
conn.Close
Set conn=Nothing
End Property
Public Property Get a3()
a3=a5
End Property
End Class

Dim x
Set x=New myClass1
Set x.a3=server.CreateObject("ADODB.Recordset")
response.Write("x.a1+x.a2="＆x.a3＆"〈br〉")
x.a1=1
x.a2=2
Response.Write("x.a1="＆x.a1＆"〈br〉")
Response.Write("x.a2="＆x.a2＆"〈br〉")
运行结果：
x.a1+x.a2=21900
x.a1=1

asp中的动态数组

sevengo@163.com(小骇) — Mon,19 Jan 2009 11:42:24 +0800

<%
Dim array1(),i

ReDim array1(3)
array1(3)=10
response.Write(array1(3)&"
")
i=15
ReDim array1(i)
Response.Write(UBound(array1))
%>

定时提醒代码

sevengo@163.com(小骇) — Mon,19 Jan 2009 11:10:47 +0800

var alertTime="2008-6-13 12:12";  提醒日期
function ShowAlert(){
     if(now==alertTime)
          alert()
     else
         setTimeout("ShowAlert()",3000); //3000表示三秒检验一次
}

这是定时提醒