PS:KJ大牛写的文章，昨天跟一朋友聊天的时候提到了ADO的command查询，我竟然把这个东西给忘记了，看来记性真的是太差了，找到了kj大牛的文章，拜读一下。一般写ASP PHP代码的朋友都估计是采用直接操作SQL的吧~看以下的代码<%dim conn,rsset conn=CreateObject(Adodb.Connection)conn.open ....set rs=conn.execute(select * from news);...遍历 rs....%>这样实现速度快是肯定的了,但是在结构逻辑上面1条半条语句当然不觉得怎样！语句多了问题也就来了！参数没过滤啊,SQL存在注入啊等等~OK 现在我们来换个设计模型！采用 3层结构 + ORMORM : OBJECT RELATION MAPPING那什么是 ORM技术呢？ 熟悉JAVA .NET开发的朋友一定很清楚...就是对象关系映射把表映射为类 字段映射为属性 而记录则映射为对象...现在JAVA的ORM持久层框架N多例如hibernate ibatis EntityBean(EJB其中一种)那在ASP上面呢？ 我们也一样可以实现.等等介绍3层结构 : WEB展现层 中间层 持久层以下有一个news 的表 简单一点的create table news(id int,title varchar(200),contect varchar(50000))我们把他映射为类<%Class Newsprivate id,title,contectSub setID(sid)id=Cint(sid)End SubFunction getIDgetID=idEnd FunctionSub setTitle(stitle)title=mid(stitle,1,200)限制了长度End Sub....End Class%>然后我们再设计如何操作数据库转换为对象的代码<%Class NewsDataAccessObjectdim conn,rs,cmd查询一篇新闻Function getNewsByID(id)set conn=Applcation(connection)连接池里面获取一个连接set cmd=GetCmd() GETCMD函数实现 return createobject(Adodb.Command)selectString=select * from NEWS where id = @idcmd.ActiveConnection = conncmd.CommandType = adCmdText Const adCmdText=1cmd.CommandText = selectString为刚刚的的@id追加参数,常量 adInteger = 3 adParamInput=1cmd.Parameters.Append cmd.CreateParameter(@id, adInteger, adParamInput, , id)运行SQL语句 返回结果集合set rs=cmd.execute()dim anewsset anew=new Newsif rs.eof thenelseanew.setID(rs(id)&)anew.setTitle(rs(title)&)anew.setContect(rs(Contect)&)end ifrs.closeset rs=nothingset cmd=nothingset conn=nothingset getNewsByID=anewEnd Function插入一篇新闻Function addNews(anew)dim conn,cmdif isempty(anew) then addNews=falseset conn=Applcation(connection)连接池里面获取一个连接set cmd=GetCmd() GETCMD函数实现 return createobject(Adodb.Command)insertString=insert into NEWS(id,title,contect) values( @id , @title , @contect )cmd.ActiveConnection = conncmd.CommandType = adCmdText Const adCmdText=1cmd.CommandText = insertString为刚刚的的@id @title @contect追加参数,常量 adInteger = 3 adParamInput=1 adVarWChar = 202cmd.Parameters.Append cmd.CreateParameter(@id, adInteger, adParamInput, , anew.getID() )cmd.Parameters.Append cmd.CreateParameter(@title,adVarWChar, adParamInput, 200 , anew.getTitle() )cmd.Parameters.Append cmd.CreateParameter(@contect,adVarWChar, adParamInput, 50000 , anew.getConect() )运行SQL语句cmd.execute()set cmd=nothingset conn=nothingaddNews=trueEnd FunctionFunction findByTitle(stitle)....End FunctionFunction getPageNews(page,size)....End FunctionEnd Class%>以上就是对数据库操作然后把结果封装到对象里面 或者把对象写入数据库这样实现虽然速度上面会稍慢 但是总体逻辑结构非常明显,不需要关心变量是否已经给过滤或者多过滤而web页面层的设计人员更多的关注于界面方面以下为提交添加新闻代码<%dim id,title,contect,anew,daoid=Request(id)title=Request.Form(title)contect=Request.Form(contect)set anew=new NEWSanew.setID(id)anew.setTitle(title)anew.setContect(contect)set dao=new NewsDataAccessObjectif dao.addNews(anew) thenresponse.writeecho successelseecho errorend if%>把新闻查出来显示<%dim id,dao,anewid=Request(id)set dao=new NewsDataAccessObjectset anew=dao.getNewsByID(id)if anew.getID()<> then%>标题:<%=anew.getTitle()%>内容:<%=anew.getContect()%>.....以上片段代码如有错漏谢谢指点~~~使用这样的设计方式就根本不需要像XXXBLOG XXXBBS XXX文章系统那样忘记Replace(SQL,,) 而产生injection了！对于页面的整洁性而言 也不会出现SQL语句,连接等 美工负责好自己的工作然后把对象的属性放到相应的位置就OK而有可能有朋友会觉得 用户认证方面呢！那更省事了把用户表的用户对象放到session里面就OK<%if isempty(session(user)) or session(user)= then跳转elseset auser=session(user)echo 欢迎你: & auser.getName()%>全文完 『关闭该页』　『打印该页』