已经讲到这里了，再提醒各位论坛站长一句，小心你们的文件上传：为什么论坛程序被攻破后主机也随之被攻击者占据。原因就在……对！ASP 木马！一个绝对可恶的东西。病毒么？非也.把个文件随便放到你论坛的程序中，您老找去吧。不吐血才怪哦。如何才能防止ASP木马被上传到服务器呢？方法很简单，如果你的论坛支持文件上传，请设定好你要上传的文件格式，我不赞成使用可更改的文件格式，直接从程序上锁定，只有图象文件格式，和压缩文件就完全可以，多给自己留点方便也就多给攻击者留点方便。怎么判断格式，我这里收集了一个，也改出了一个，大家可以看一下：

　　程序体（10）

　　’判断文件类型是否合格
　　Private Function CheckFileExt (fileEXT)
　　dim Forumupload
　　Forumupload="gif,jpg,bmp,jpeg"
　　Forumupload=split(Forumupload,",")
　　for i=0 to ubound(Forumupload)
　　if lcase(fileEXT)=lcase(trim(Forumupload(i))) then
　　CheckFileExt=true
　　exit Function
　　else
　　CheckFileExt=false
　　end if
　　next
　　End Function
　　‘验证文件内容的合法性

set MyFile = server.CreateObject ("Scripting.FileSystemObject")
　　set MyText = MyFile.OpenTextFile (sFile, 1) ’ 读取文本文件
　　sTextAll = lcase(MyText.ReadAll): MyText.close
　　’判断用户文件中的危险操作
　　sStr ="8　.getfolder　.createfolder　.deletefolder　.createdirectory　
　　.deletedirectory"
　　sStr = sStr & "　.saveas　wscript.shell　script.encode"
　　sNoString = split(sStr,"　")
　　for i = 1 to sNoString(0)
　　if instr(sTextAll, sNoString(i)) ＜＞ 0 then
　　sFile = Upl.Path & sFileSave: fs.DeleteFile sFile
　　Response.write "＜center＞＜br＞＜big＞"& sFileSave &"文件中含有与操作目录等有关的命令"&_
　　"＜br＞＜font color=red＞"& mid(sNoString(i),2) &"＜/font＞，为了安全原因，＜b＞不能上传。＜b＞"&_"＜/big＞＜/center＞＜/html＞"
　　Response.end
　　end if
　　next

　　把他们加到你的上传程序里做一次验证，那么你的上传程序安全性将会大大提高.

　　什么？你还不放心？拿出杀手锏，请你的虚拟主机服务商来帮忙吧。登陆到服务器，将PROG ID 中的"shell.application"项和"shell.application.1"项改名或删除。再将”WSCRIPT.SHELL”项和”WSCRIPT.SHELL.1”这两项都要改名或删除。呵呵，我可以大胆的说，国内可能近半以上的虚拟主机都没改过。只能庆幸你们的用户很合作，否则……我删，我删，我删删删……

　　攻击原理：在用Access做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称，那么他也能够下载这个Access数据库文件，这是非常危险的。

　　防范技巧：

　　（1）为你的数据库文件名称起个复杂的非常规的名字，并把它放在几层目录下。所谓 “非常规”，打个比方说，比如有个数据库要保存的是有关书籍的信息，可不要给它起个“book.mdb”的名字，而要起个怪怪的名称，比如d34ksfslf.mdb，并把它放在如./kdslf/i44/studi/的几层目录下，这样黑客要想通过猜的方式得到你的Access数据库文件就难上加难了。

　　（2）不要把数据库名写在程序中。有些人喜欢把DSN写在程序中，比如：

　　DBPath = Server.MapPath（“cmddb.mdb”）
　　conn.Open “driver={Microsoft Access Driver （*.mdb）}；dbq=” & DBPath

　　假如万一给人拿到了源程序，你的Access数据库的名字就一览无余了。因此建议你在ODBC里设置数据源，再在程序中这样写：

　　conn.open“shujiyuan”

　　（3）使用Access来为数据库文件编码及加密。首先在“工具→安全→加密/解密数据库”中选取数据库（如：employer.mdb），然后按确定，接着会出现“数据库加密后另存为”的窗口，可存为：“employer1.mdb”。

　　要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。

　　接下来我们为数据库加密，首先打开经过编码了的 employer1.mdb，在打开时，选择“独占”方式。然后选取功能表的“工具→安全→设置数据库密码”，接着输入密码即可。这样即使他人得到了 employer1.mdb文件，没有密码他也是无法看到 employer1.mdb中的内容。

　　7、防范远程注入攻击

　　这类攻击在以前应该是比较常见的攻击方式,比如POST攻击,攻击者可以随便的改变要提交的数据值已达到攻击目的.又如:COOKIES 的伪造,这一点更值得引起程序编写者或站长的注意，不要使用COOKIES来做为用户验证的方式,否则你和把钥匙留给贼是同一个道理.

　　比如:

　　If trim(Request. cookies ("uname"))="fqy" and Request.cookies("upwd") =”fqy#e3i5.com” then
　　……..more………
　　End if

　　我想各位站长或者是喜好写程序的朋友千万别出这类错误,真的是不可饶恕.伪造COOKIES 都多少年了，你还用这样的就不能怪别人跑你的密码.涉及到用户密码或者是用户登陆时,你最好使用session 它才是最安全的.如果要使用COOKIES就在你的COOKIES上多加一个信息,SessionID,它的随机值是64位的,要猜解它,不可能.例:

　　if not (rs.BOF or rs.eof) then
　　login="true"
　　Session("username"&sessionID) = Username
　　Session("password"& sessionID) = Password
　　‘Response.cookies(“username”)= Username
　　‘Response.cookies(“Password”)= Password

　　下面我们来谈谈如何防范远程注入攻击,一般的攻击都是将单表提交文件拖到本地,将Form ACTION=”chk.asp” 指向你服务器中处理数据的文件即可.如果你全部的数据过滤都在单表页上，那么恭喜你，你将已经被脚本攻击了.

　　怎么才能制止这样的远程攻击?好办,请看代码如下: 程序体(9)

　　＜%
　　server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
　　server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
　　if mid(server_v1,8,len(server_v2))＜＞server_v2 then
　　response.write "＜br＞＜br＞＜center>"
　　response.write " "
　　response.write "你提交的路径有误，禁止从站点外部提交数据请不要乱改参数！"
　　response.write "

"
　　response.end
　　end if
　　%>

‘个人感觉上面的代码过滤不是很好，有一些外部提交竟然还能堂堂正正的进来,于是再写一个.

　　‘这个是过滤效果很好,建议使用.

　　if instr(request.servervariables("http_referer"),"http://"&request.servervariables("host") )<1 then response.write "处理 URL 时服务器上出错。

　　如果您是在用任何手段攻击服务器，那你应该庆幸，你的所有操作已经被服务器记录，我们会第一时间通知公安局与国家安全部门来调查你的IP. "

　　response.end
　　end if
　　程序体(9)

　　本以为这样就万事大吉了，在表格页上加一些限制,比如maxlength啦,等等..但天公就是那么不作美,你越怕什么他越来什么.你别忘了,攻击者可以突破sql注入攻击时输入框长度的限制.写一个SOCKET程序改变HTTP_REFERER？我不会。网上发表了这样一篇文章：

　　------------len.reg-----------------
　　Windows Registry Editor Version 5.00
　　[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\扩展(&E)]
　　@="C:\Documents and Settings\Administrator\桌面\len.htm"
　　"contexts"=dword:00000004
　　-----------end----------------------
　　-----------len.htm------------------
　　
　　----------end-----------------------

　　用法:先把len.reg导入注册表(注意文件路径)

　　然后把len.htm拷到注册表中指定的地方.

　　打开网页,光标放在要改变长度的输入框上点右键,看多了一个叫扩展的选项了吧

　　单击搞定! 后记:同样的也就可以对付那些限制输入内容的脚本了.

　　怎么办？我们的限制被饶过了，所有的努力都白费了？不，举起你de键盘，说不。让我们继续回到脚本字符的过滤吧，他们所进行的注入无非就是进行脚本攻击。我们把所有的精力全都用到ACTION以后的页面吧，在chk.asp页中，我们将非法的字符全部过滤掉，结果如何？我们只在前面虚晃一枪，叫他们去改注册表吧，当他们改完才会发现，他们所做的都是那么的徒劳。

　　由于ASP的方便易用，越来越多的网站后台程序都使用ASP脚本语言。但是，由于ASP本身存在一些安全漏洞，稍不小心就会给黑客提供可乘之机。事实上，安全不仅是网管的事，编程人员也必须在某些安全细节上注意，养成良好的安全习惯，否则会给自己的网站带来巨大的安全隐患。目前，大多数网站上的ASP程序有这样那样的安全漏洞，但如果编写程序的时候注意一点的话，还是可以避免的。

　　1、用户名与口令被破解

　　攻击原理：用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。

　　防范技巧：涉及用户名与口令的程序最好封装在服务器端，尽量少在ASP文件里出现，涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接，在理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户修改、插入、删除记录的权限。

　　2、验证被绕过

　　攻击原理：现在需要经过验证的ASP程序大多是在页面头部加一个判断语句，但这还不够，有可能被黑客绕过验证直接进入。
　　防范技巧：需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。

　　3、inc文件泄露问题

　　攻击原理：当存在ASP的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。

　　防范技巧：程序员应该在网页发布前对它进行彻底的调试；安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称，尽量使用无规则的英文字母。

　　4、自动备份被下载

　　攻击原理：在有些编辑ASP程序的工具中，当创建或者修改一个ASP文件时，编辑器自动创建一个备份文件，比如：UltraEdit就会备份一个.bak文件，如你创建或者修改了some.asp，编辑器会自动生成一个叫some.asp.bak文件，如果你没有删除这个bak文件，攻击者可以直接下载some.asp.bak文件，这样some.asp的源程序就会被下载。

　　防范技巧：上传程序之前要仔细检查，删除不必要的文档。对以BAK为后缀的文件要特别小心。

　　5、特殊字符

　　攻击原理：输入框是黑客利用的一个目标，他们可以通过输入脚本语言等对用户客户端造成损坏；如果该输入框涉及数据查询，他们会利用特殊查询语句，得到更多的数据库数据，甚至表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查，仍有可能被绕过。

　　防范技巧：在处理类似留言板、BBS等输入框的ASP程序中，最好屏蔽掉HTML、JavaScript、VBScript语句，如无特殊要求，可以限定只允许输入字母与数字，屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但要在客户端进行输入合法性检查，同时要在服务器端程序中进行类似检查。

主要原理就是用正则判断 <img> 的<src>属性。这在采集程序中将非常有用。

函数如下：

以下是引用片段：
Function ShowPic(str)
Set objRegExp = New Regexp'设置配置对象
objRegExp.IgnoreCase = True'忽略大小写
objRegExp.Global = True'设置为全文搜索
objRegExp.Pattern = "<img.+?>"
'为了确保能准确地取出图片地址所以分为两层配置：首先找到里面的<img>标签，然后再取出里面的图片地址后面的getimgs函数就是实现后一个功能的。
strs=trim(str)
Set Matches =objRegExp.Execute(strs)'开始执行配置
For Each Match in Matches
RetStr = RetStr &getimgs( Match.Value )'执行第二轮的匹配
Next
ShowPic = RetStr
End Function
Function getimgs(str)
getimgs=""
Set objRegExp1 = New Regexp
objRegExp1.IgnoreCase = True
objRegExp1.Global = True
objRegExp1.Pattern = "http://.+?"""'取出里面的地址
set mm=objRegExp1.Execute(str)
For Each Match1 in mm
getimgs=getimgs&left(Match1.Value,len(Match1.Value)-1)&"||"'把里面的地址串起来备用
next
End Function
'取得图片内容
function getHTTPPage(url)
on error resume next
dim http
set http=server.createobject("MSXML2.XMLHTTP")'使用xmlhttp的方法来获得图片的内容
Http.open "GET",url,false
Http.send()
if Http.readystate<>4 then
exit function
end if
getHTTPPage=Http.responseBody
set http=nothing
if err.number<>0 then err.Clear
end function
'保存图片
function saveimage(from,tofile)
dim geturl,objStream,imgs
geturl=trim(from)
imgs=gethttppage(geturl)'取得图片的具休内容的过程
Set objStream = Server.CreateObject("ADODB.Stream")'建立ADODB.Stream对象，必须要ADO 2.5以上版本
objStream.Type =1'以二进制模式打开
objStream.Open
objstream.write imgs'将字符串内容写入缓冲
objstream.SaveToFile server.mappath(tofile),2'-将缓冲的内容写入文件
objstream.Close()'关闭对象
set objstream=nothing
end function

'调用实例
Dim strpic,i,fname
strpic = ShowPic("<DIV align=center><IMG src=""http://img.knowsky.com/img/knowskylogo.gif"" border=0></DIV>")
strpic = Split(strpic,"||")
If UBound(strpic) > 0 Then
For i = 0 To UBound(strpic) - 1
'保存图片
fname=cstr(i&mid(strpic(i),instrrev(strpic(i),".")))
saveimage(strpic(i),fname)
Next
Else
End If

ASP (Active Server Pages) 是服务器端的脚本编写环境，它由微软公司的IIS3.0以上版本支持。它可用来创建动态 Web 页或生成功能强大的 Web应用程序。ASP页是包括 HTML 标记、文本和脚本命令的文件。ASP页可调用ActiveX组件来执行任务，例如连接到数据库或进行商务计算。通过ASP，可为您的Web页添加交互内容 或用HTML页构成整个Web应用程序，这些应用程序使用HTML页作为您的客户的界面。

二、ASP模型

浏览器从Web服务器上请求 .asp文件时，ASP 脚本开始运行。然后Web服务器调用ASP，ASP全面读取请求的文件，执行所有脚本命令，并将Web页传送给浏览器。

ASP提供了一个在HTML页中使用现有脚本语言如 Microsoft VBScript 和 Microsoft JScript 的框架。

ASP提供内建对象，这些对象使用户更容易收集通过浏览器请求发送的信息、响应浏览器以及存储用户信息。包括Application、 Request、Response、Server、Session 和ObjectContext 对象。其中最为常用的为Request、Response 和Server三个对象，它们分别用于从浏览器请求信息、向浏览器发送信息和访问服务器上对象的属性和方法。

三、ADO

ASP和后台数据库连接使用微软的ADO(ActiveX Data Objects)，ADO是一项容易使用并且可扩展的将数据库访问添加到Web页的技术。可以使用ADO去编写紧凑简明的脚本以便连接到Open Database Connectivity(ODBC)兼容的数据库和 OLE DB兼容的数据源。

ADO包含7个内置对象，它们分别为Connection、Command、RecordSet、Fields、Error、Parameters和Properties。通过这些对象，ASP可以完成对后台数据库的所有操作。

四、ASP调用视图和存储过程

在一般的MIS应用中，会有大量的报表，此时我们可以在后台数据库编写相应的视图或存储过程，用ASP通过ADO调用以完成报表工作。下面用一个例子说明相应的操作过程。

1.创建 ODBC DSN 文件

在创建数据库脚本之前，必须提供一条使ADO定位、标识和与数据库通讯的途径。数据库驱动程序使用Data Source Name (DSN) 定位和标识特定的ODBC兼容数据库，将信息从 Web 应用程序传递给数据库。

2. 调用数据库视图

访问数据库信息的第一步是和数据库源建立连接。ADO提供Connection对象，可以使用该对象建立和管理应用程序和 ODBC数据库之间的连接。

<%
Set Dataconn = Server.CreateObject("ADODB.Connection") '建立连接对象
Dataconn.Open "DSN=SinoTrans;SERVER=APP_SERVER;
UID=sa;PWD=;APP=Microsoft (R) Developer Studio;WSID=APP_SERVER;Regional=Yes"
Set cmdTemp = Server.CreateObject("ADODB.Command") '建立命令对象
Set rst= Server.CreateObject("ADODB.Recordset") '建立记录集对象
cmdTemp.CommandText = "Customers "
cmdTemp.CommandType = 2
Set cmdTemp.ActiveConnection = DataConn
rst.Open cmdTemp, , 1, 3 '生成查询结果
%>

此时，Customers为视图，从视图中查询数据与从基表中查询数据的方法是相同的。

3.调用数据库存储过程

<%
Set Dataconn = Server.CreateObject("ADODB.Connection") '建立连接对象
Dataconn.Open "DSN=SinoTrans;SERVER=APP_SERVER;UID=sa;
PWD=;APP=Microsoft (R) Developer Studio;WSID=APP_SERVER;Regional=Yes"
Set cmdTemp = Server.CreateObject("ADODB.Command") '建立命令对象
Set rst = Server.CreateObject("ADODB.Recordset") '建立记录集对象
cmdTemp.CommandText = "dbo.pd_test" '存储过程名称
cmdTemp.CommandType = 4 '命令类别为4,表示为存储过程
Set cmdTemp.ActiveConnection = Dataconn
Set tmpParam = cmdTemp.CreateParameter("Return Value", 3, 4, 4)
cmdTemp.Parameters.Append tmpParam
Set tmpParam = cmdTemp.CreateParameter("@BeginDate", 135, 1, 16, riqi)
'创建输入参数对象
cmdTemp.Parameters.Append tmpParam
rst.Open cmdTemp, , 1, 3 '生成查询结果
%>

这里调用的存储过程为pd_test，这种是ADO中提供的标准方法，但存在一个问题，就是当在存储过程中有两个以上的SELECT语句，但 从逻辑上又不可能同时执行的时候，ADO会提示你存储过程中SELECT语句太多，解决方法是直接用ADO的CONNECTION对象的EXECUTE方 法直接执行存储过程，如下：

<%
Set Dataconn = Server.CreateObject("ADODB.Connection") '建立连接对象
Dataconn.Open "DSN=SinoTrans;SERVER=APP_SERVER;UID=sa;PWD=;
APP=Microsoft (R) Developer Studio;WSID=APP_SERVER;Regional=Yes"
ss = "EXECUTE dbo.pd_test " & "'" & riqi1 & "'"
Set rs = dataconn.Execute(ss)
%>

有关ASP和ADO使用的详细信息，请参阅 Microsoft ActiveX Data Objects (ADO) 和Active Server Pages（ASP）的详细参考。

五、结束语

在B/S结构的开发中，我们可以把一些商业规则或复杂查询用存储过程在DBMS中编写，然后用ASP中的ADO对象调用，完成原来C/S结构中的传统功能。

%>

我的环境是WINDOWS98+PWS4.0+mysql-3.23.32-win+PHP4
必要的软件：PWS4.0（呵呵，废话）
mysql-3.23.32-win（这个是最新版的）
myodbc-2.50.36-dll（这个是最重要的，MYSQL ODBC的驱动程序，可以到www.mysql.com下载）
第一步：安装MYSQL ODBD的驱动程序，将下载的myodbd-2.50.46-dll文件复制到windows\system目录下(windows2000
是winnt/system32)
然后建立一新文件，扩展名为reg（就是注册表文件）,将以下内容复制到该文件中。
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBCINST.INI\myodbc driver]
"UsageCount"=dword:00000002
"Driver"="C:\\WINDOWS\\System\\myodbc.dll"
"Setup"="C:\\WINDOWS\\System\\myodbc.dll"
"SQLLevel"="1"
"FileUsage"="0"
"DriverODBCVer"="02.50"
"ConnectFunctions"="YYY"
"APILevel"="1"
"CpTimeout"="120"
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBCINST.INI\ODBC Drivers]
"myodbc driver"="installed"

保存后双击该文件，将上面代码注册到WINDOWS注册表中。
如果安装在windows2000中,则Driver和Setup主键的值要做相应改变，这里我想就不用多说了。
如果成功，在控制面板/ODBD数据源的驱动程序里将看到myodbd driver这一项！

第二步：建立ASP文件链接数据库。
这里有两种方法，一种是在ODBC数据源中建立一个系统DSN。后来我发现不建立也可以在ASP中使用MYSQL,方
法在下文将讲道。
打开控制面板/ODBD数据源，选择系统DSN,然后添加一个新的DSN,驱动程序选择myodbd driver,会出现一个对
话框供输入mysql
相关信息。
Windows DSN name: 所要建立DSN的名称
Mysql Host (name or ip):Mysql服务器的名称或者是IP地址，通常填localhost
Mysql database name:需要使用数据库的名称，数据库在Mysql管理程序中建立。这里我们使用一个例子。数
据库名：hc188
里面有数据表：user 数据表有两个字段分别是：username和password,随便插入几个
数据。
user:链接数据库的用户名，我填的是root超级用户
password:链接数据库用户密码，如果没有，可以不填
Port(if not 3306)：Mysql在服务器的端口，如果不填默认为3306
SQL command on connect:使用sql命令链接数据库，这项可以不填
填写完毕后选择OK保存。

下面链接数据库的ASP代码！

<%
strConnection = "dsn=hc188;driver={myodbd driver};server=localhost;uid=root;pwd=;database=hc188"
Set adoDataConn = Server.CreateObject("ADODB.Connection")
adoDataConn.Open strConnection

strQuery = "SELECT * FROM user"
Set rs = adoDataConn.Execute(strQuery)
If Not rs.BOF Then
%>
<TABLE>
<TR>
<TD<b>username</b></TD>
<TD><b>password</b></TD>
</TR>
<%
Do While Not rs.EOF
%>
<TR>
<TD><%=rs("username")%></TD>
<TD><%=rs("password")%></TD>
</TR>
<%
rs.MoveNext
Loop
%>
</TABLE>
<%
Else
Response.Write("Sorry, no data found.")
End If

rs.Close
adoDataConn.Close
Set adoDataConn = Nothing
Set rsEmailData = Nothing
%>

第二种方法：我在使用中想过如果不建立系统DSN，是否也可以使用MYSQL数据库呢？结果是可以的。
方法很简单，把上面ASP代码第二行代码改为：
strconnection="DefaultDir=;Driver={myodbc driver};database=hc188"

我奇怪的发现，这种方法连用户名和密码都不需要就可以使用。是不是MYSQL的一个BUG呢？

以上代码全部经测试通过！

到此，全文结束了，是不是很简单呢！希望能帮上你！

做人要厚道，请注明转自酷网动力(www.ASPCOOL.COM)。

ASP.NET - 事件句柄
请看下面的代码：
<%
lbl1.Text="The date and time is " & now()
%>
<html>
<body>
<form runat="server">
<h3><asp:label id="lbl1" runat="server" /></h3>
</form>
</body>
</html>上面的代码什么时候会被执行？答案是：“我不知道. . .”
Page_Load 事件
Page_Load 事件是众多 ASP.NET 可理解的事件之一。Page_Load 事件会在页面加载时被触发，然后 ASP.NET 会自动调用子例程 Page_Load，并执行其中的代码：
<script runat="server">
Sub Page_Load
lbl1.Text="The date and time is " & now()
End Sub
</script>

<html>
<body>
<form runat="server">
<h3><asp:label id="lbl1" runat="server" /></h3>
</form>
</body>
</html>注释：该 Page_Load 事件不包含对象引用或事件参数！

Page.IsPostBack 属性
Page_Load 子例程会在页面每次加载时运行。如果您仅希望在页面第一次加载时执行 Page_Load 子例程中的代码，您可以使用 Page.IsPostBack 属性。如果 Page.IsPostBack 属性为 false，则页面第一次被载入，如果为 true，则页面传回服务器（例如，通过点击表单上的按钮）：

<script runat="server">
Sub Page_Load
if Not Page.IsPostBack then
lbl1.Text="The date and time is " & now()
end if
End Sub

Sub Submit(s As Object, e As EventArgs)
lbl2.Text="Hello World!"
End Sub
</script>

<html>
<body>
<form runat="server">
<h3><asp:label id="lbl1" runat="server" /></h3>
<h3><asp:label id="lbl2" runat="server" /></h3>
<asp:button text="Submit" onclick="submit" runat="server" />
</form>
</body>
</html>上面的例子仅在页面初次加载时创建 "The date and time is...." 这条消息。当用户点击 Submit 按钮时，submit 子例程将在第二个 label 创建 "Hello World!"，但第一个 label 中的日期和时间不会改变。

二、方法
Response.AddHeader Name,Value
向应答中添加一个新的HTML标题。Name为新HTML标题的名称。Value为该头变量的值。你可以添加任何名称和任何值的HTML标题。它并不替代现有的同名标题。一旦标题被添加，将不能删除。
Response.AppendToLog String
向Web服务器的日志条目的末尾添加一字符串。String为要添加到日志文件中的字符串。
Response.BinaryWrite Data
该方法可以不经任何字符转换就将制定的信息写到HTTP输出，主要用于写非字符串信息（如客户端应用程序所需的二进制数据等）。Data是要发送的数据。
Response.Clear
删除缓冲区的所有HTML输出，但只删除响应正文而不删除响应标题。可以用该方法处理错误情况。需要注意的是，如果Response.Buffer设置为True，则该方法将导致运行是错误。
Response.End
强迫Web服务器停止执行更多的脚本，并发送当前结果，文件中剩余的内容将不被处理。如果Response.Buffer设置为True，则调用Response.end将缓冲输出。
Response.Flush
对于一个缓冲的回应，发送所有的缓冲信息。如果Response.Buffer设置为True，则该方法将导致运行是错误。
Response.Redirect URL
将客户端的浏览器重定向到一个新的Internet地址。Url为新网页的Internet地址。
Response.Write Variant
Response.Write是Response对象最常用的方法，该方法可以向浏览器发送字符串。Variant是一字符串或一个具有字符串值的变量。

三、属性
Response.Buffer
缓冲一Active Server Page。回应只到某一页结束或Response.Flush或Response.End方法调用时才发送出去。服务器将输出送给客户端后就不能再设置Buffer属性。
Response.CacheControl
指明是否Proxy服务器能缓存Active Server Page。缺省时，其值为FALSE 。当设置其属性为Public时，Proxy服务器可以缓冲由Asp产生的输出。
Response.CharSet(Charsetname)
将字符集名称（如GB）附加到Response对象中content-type标题的后面，用来设置web服务器响应给客户端的文件字符编码。一个可能的值为“ISO_LATIN_1”。
Response.ContentType
指明回应内容的类型。可能的值为text/plain和image/GIF，默认值text/HTML。
Response.Expires
浏览器可以缓存当前页的时间长度，以分钟为单位。

Response.ExpiresAbsolute
浏览器不能再缓存当前页的日期和时间。在未到期之前，可以返回。如果未指定时间，该主页在当天午夜到期；如果未指定日期，则到当天指定时间到期。

True/False = Response.IsClientConnected
属性为只读，指明自上次调用Response.Write之后，客户端是否仍然和服务器连接。该属性允许用户在客户端和服务器没有联接的情况下有更多的控制。例如，在从客户端提出请求起到服务器做出相应，其间要用去很长一段时间的情况下，这就可能有助于确保在继续处理脚本之前客户端仍是连通的。具有值TRUE或FALSE。

Response.PICS (PICS 字符串)
用于添加网页的PICS等级。PICS级别指明某一网页的内容级别，比如暴力或色情的程度等。
Response.Status = "状态描述字符串"
用来设置Web服务器要响应的状态行的值。

Buffer从英文直译过来的意思是“缓冲区”，这里我们将它称为缓冲，因为它不仅是个名词，还是个动词。

缓冲区是存储一系列的数据的地方，客户端所获得的数据可以从程序的执行结果直接输出，也可以从缓冲区输出。但是这两种方式在速度上是有差异的：在web 中，当一个asp程序被请求的次数不多时，二者基本上没有什么差异，至少我们感觉不出来。但是当有很多人请求一个asp程序时，速度可就不一样了。如果没有缓冲区，那么每个请求asp程序的人的客户端所得到的结果都是asp程序执行一次所得到的结果，而如果预先将asp程序缓冲，那么每个客户端所得到的结果就是缓冲区的结果，不是执行一次程序的结果。比如有1000个用户同时访问一个asp页面，如果这个asp程序没有缓冲，那么程序将被执行一千次，这样服务器的负荷就回加大，从而导致客户端打开页面速度变慢；如果这个asp程序被缓冲了，那么结果就不一样了，每个客户端直接从缓冲区获得数据，服务器将不会因为访问增加而增加程序执行次数，因此客户端打开页面的速度也就比上一种情况要快。这就是Buffer的好处。

二、如何将asp程序缓冲

这个问题其实很简单，只要在asp程序的第一行加上：
<% Response.Buffer = True %>
就可以了。
这句话的意思就是指明输出页面是否被缓冲，当属性值为True时，服务器将不会向客户端发送任何信息，直到所有程序执行完或者遇到
<% Response.Flush %>或<% Response.End %>
语句，才会释放缓冲区的信息。

运用:提高用户体验
这样我们在运行需要进行复杂运算或循环次数多的程序时,就可又用<% Response.Flush %>输出缓冲区的信息,一边运行一边输出,减少用户等待时间.增强用户体验.

三、总结

Response 的Buffer属性虽然能够提高页面显示速度，但是也要分什么情况。如果你正在制作一个普通的个人主页，访问量不是很高，并且没有什么复杂的执行程序，那么用不用这个属性就不是很重要，因为将数据缓冲也需要一段时间，只不过我们感觉不到罢了；但是如果你正在制作一个大型论坛或者一个产品展示或其他的商务站点，并且访问量很高，那么我建议在程序的第一行加入
<% Response.Buffer = True %>
这句话，因为这样能够让客户在有效的时间内获得更多的数据。

判断方法二：
也可用这种方法，首先在一个页面里写入一个cookie，如:
<%
Response.Cookies("status")="onoroff"
%>
在第二页里读出此cookie：
<%
if Request.Cookies("status")="" then
"当cookies("status")里没有值时，则cookie功能没有开启
Response.Write "Cookie没有开启!"
else
"当cookies("status")里有值时，则cookie功能开启
Response.Write "Cookie已开启"
end if
%>

“五子棋”是大家都非常熟悉的一种益智类游戏，相关的游戏软件也非常多，在此我向大家隆重推出一款新的纯“网络版”的五子棋，它利用ASP做为开发环境，因此在Internet上对战的时候无需下载客户端软件，只要你有一个浏览器就可以了。你也可以在局域网上进行这个游戏。
游戏的过程是这样的，我们首先登录，然后可以选择战场，有“金星”、“木星”、“水星”、“火星”、“土星”等五个战场，如果你自认为是一个高手，可以选择金星，否则可以依次选择其它几个星球做为战场。如果这个星球上没有擂主，你就应该以擂主的身份进入，然后别人就可以和你进行对战了。当然，如果所有的星球上都已经开始了战争，那么你就只能等一会儿了。
如果你是以擂主身份进入的，你可以等待别人来和你对战，如果你是以攻擂手的身份登录，你可以很快的和擂主展开战斗。开始战斗后，由擂主执黑先行，然后由攻擂手出招，如此这般。当最后决出胜负的时候，会有相应的提示。
该站点有几个主要的文件是：
Index.asp 登录文件：
Index0.asp中间文件：
Match.asp 比赛文件：
Back0.jpg white0.jpg black0.jpg 中间用到的图形文件，分别指的棋盘，白子和黑子，如下图：
在程序的初始化的时候，将棋盘上分成若干的表格，将背景图片放入其中，形成一个棋盘，然后在放上一个棋子后，再将图片换上相应的白子或黑子就可以了。
先看看登录文件：
＜%@ Language=VBScript %＞
＜HTML＞
＜HEAD＞
＜META NAME="GENERATOR" Content="Microsoft Visual Studio 6.0"＞
＜title＞星球大战之“五子连珠”大赛！＜/title＞
＜/HEAD＞
＜BODY＞

＜p align=center＞＜font size=6＞星球大战＜/font＞＜/P＞
＜table border=1 width=80% align=center＞
＜tr＞＜td＞星球＜/td＞＜td＞擂主＜/td＞＜td＞大战＜/td＞＜td＞攻擂＜/td＞＜/tr＞
＜tr＞
＜td＞金星＜/td＞
＜td＞
＜%
if application("first1")="" then
%＞
＜form action=index0.asp?flag=First1 method=post＞
＜INPUT id=text1 name=txtFirst1 size=10＞＜INPUT id=submit1 name=submit1
type=submit value=进入＞
＜/form＞
＜%
else
response.write application("first1")
end if
%＞
＜/td＞
＜td＞大战＜/td＞
＜td＞
＜%
if application("second1")="" then
%＞

＜form action=index0.asp?flag=second1 method=post＞
＜INPUT id=text1 name=txtSecond1 size=10＞＜INPUT id=submit1
name=submit1 type=submit value=进入＞
＜/form＞
＜%
else
response.write application("Second1")
end if
%＞
＜/td＞
＜/tr＞

＜tr＞
＜td＞木星＜/td＞
＜td＞
＜%
if application("first2")="" then
%＞
＜form action=index0.asp?flag=First2 method=post＞
＜INPUT id=text1 name=txtFirst2 size=10＞＜INPUT id=submit1 name=submit1
type=submit value=进入＞
＜/form＞
＜%
else
response.write application("first2")
end if
%＞
＜/td＞
＜td＞大战＜/td＞
＜td＞
＜%
if application("second2")="" then
%＞

＜form action=index0.asp?flag=second2 method=post＞
＜INPUT id=text1 name=txtSecond2 size=10＞＜INPUT id=submit1
name=submit1 type=submit value=进入＞
＜/form＞
＜%
else
response.write application("Second2")
end if
%＞
＜/td＞
＜/tr＞

＜tr＞
＜td＞金星＜/td＞
＜td＞
＜%
if application("first3")="" then
%＞
＜form action=index0.asp?flag=First3 method=post＞
＜INPUT id=text1 name=txtFirst3 size=10＞＜INPUT id=submit1 name=submit1
type=submit value=进入＞
＜/form＞
＜%
else
response.write application("first3")
end if
%＞
＜/td＞
＜td＞大战＜/td＞
＜td＞
＜%
if application("second3")="" then
%＞

＜form action=index0.asp?flag=second3 method=post＞
＜INPUT id=text1 name=txtSecond3 size=10＞＜INPUT id=submit1
name=submit1 type=submit value=进入＞
＜/form＞
＜%
else
response.write application("Second3")
end if
%＞
＜/td＞
＜/tr＞

＜tr＞
＜td＞金星＜/td＞
＜td＞
＜%
if application("first4")="" then
%＞
＜form action=index0.asp?flag=First4 method=post＞
＜INPUT id=text1 name=txtFirst4 size=10＞＜INPUT id=submit1 name=submit1
type=submit value=进入＞
＜/form＞
＜%
else
response.write application("first4")
end if
%＞
＜/td＞
＜td＞大战＜/td＞
＜td＞
＜%
if application("second4")="" then
%＞

＜form action=index0.asp?flag=second4 method=post＞
＜INPUT id=text1 name=txtSecond4 size=10＞＜INPUT id=submit1
name=submit1 type=submit value=进入＞
＜/form＞
＜%
else
response.write application("Second4")
end if
%＞
＜/td＞
＜/tr＞

＜tr＞
＜td＞金星＜/td＞
＜td＞
＜%
if application("first5")="" then
%＞
＜form action=index0.asp?flag=First5 method=post＞
＜INPUT id=text1 name=txtFirst5 size=10＞＜INPUT id=submit1 name=submit1
type=submit value=进入＞
＜/form＞
＜%
else
response.write application("first5")
end if
%＞
＜/td＞
＜td＞大战＜/td＞
＜td＞
＜%
if application("second5")="" then
%＞

＜form action=index0.asp?flag=second5 method=post＞
＜INPUT id=text1 name=txtSecond5 size=10＞＜INPUT id=submit1
name=submit1 type=submit value=进入＞
＜/form＞
＜%
else
response.write application("Second5")
end if
%＞
＜/td＞
＜/tr＞
＜/table＞
＜/BODY＞
＜/HTML＞

这个文件不用做过多的说明，就是一个大的表格，大家可以从那里进入，如果某个位置已经被使用，则它会变成该大 侠的名字，不允许重复登录。在登录后进入
index0.asp，这是一个中间交换文件，在里面进行一些变量的处理及赋值，然后再进入match.asp，进行正式的比赛。我们来看一下index0.asp的内容：

＜%@ Language=VBScript %＞
＜%
if Request.Form("txt" & request.querystring("flag"))＜＞"" then
'response.write "in!" & ""
session("nice")=Request.Form("txt" & request.querystring("flag"))
'response.write session("nice") & ""
'response.write application(request.querystring("flag"))
if application(request.querystring("flag"))="" then
application(request.querystring("flag"))=session("nice")
session("class")=right(request.querystring("flag"),1)
if left(request.querystring("flag"),1)="f" then
application(session("nice"))=false
elseif left(request.querystring("flag"),1)="s" then
application(session("nice"))=false
application(application("first" & session("class")))=true
end if
Response.Redirect "match.asp"
end if

end if

%＞
＜HTML＞
＜/HTML＞

该程序中，用session(“nice”)来记录您登录的大名，以后的处理中，很多都要用到它，用它来区分很多的用户。如果您是从擂主的位置进入，则您的权利是
first，否则是second，用session("class")来记录位于哪个战场场，“金”“木”
“水”“火”“土”分别表示为1、2、3、4、5，因为有多个战场可能同时开战，如果不能正确地区分开，则可能导致一片混乱。application(session("nice"))是一个逻辑型变量，用真假来表示您是否可以出棋，如果是假，您要等待一个，如果是真，您就可以下棋了。只有一个战场上的两个人都进入了以后，擂主方可以下棋，而且只有当擂主出子以后，攻擂手才可以下棋。准备好以后，下面就进入赛场，请看文件match.asp

＜html＞
＜head＞
＜meta http-equiv="Content-Type" content="text/html; charset=gb2312"＞
＜meta name="GENERATOR" content="Microsoft FrontPage 4.0"＞
＜meta name="ProgId" content="FrontPage.Editor.Document"＞
＜META http-equiv=refresh content=3＞
＜title＞连珠大赛...＜/title＞
＜/head＞
＜%
Response.Write "擂主:" & application("first" & session("class"))
& "    攻擂：" & application("second" & session
("class"))
if Request.QueryString("pos")＜＞"" then
application("pos" & session("class") & Request.QueryString("pos"))
=true
end if
%＞
＜body＞
＜%
'Response.Write application("aaa")
if application("first" & session("class"))=session("nice") then
color="black"
if Request.QueryString("pos")＜＞"" then
if session("last")="" then session("last")="abc"
if session("last")＜＞ Request.QueryString("pos") then
application(application("first" & session("class")))=false
if application("second" & session("class"))＜＞"" then application
(application("second" & session("class")))=true
session("last")=Request.QueryString("pos")
END IF
end if
else
if application("second" & session("class"))=session("nice") then
color="white"
if Request.QueryString("pos")＜＞"" then
'if session("last")="" then session("last")="abc"
if session("last")＜＞ Request.QueryString("pos") then
application(application("first" & session("class")))=true
application(application("second" & session("class")))=false
session("last")=Request.QueryString("pos")
END IF
end if
else
if application("second" & session("class"))="" then
application("second" & session("class"))=session("nice")
color="white"
if Request.QueryString("pos")＜＞"" then
if session("last")="" then session("last")="abc"
if session("last")＜＞ Request.QueryString("pos") then
application(application("first" & session("class")))=true
application(application("second" & session("class")))=false
session("last")=Request.QueryString("pos")
END IF
end if
else
color=""
end if
end if
end if
Response.Write "＜table width=400 height=400 border=0 cellspacing=0
cellpadding=0＞"
for i=1 to 16
Response.Write "＜tr＞"
for j=1 to 16
if application("pos" & session("class") & cstr(i) & "_" & cstr(j))=""
then
application("color" & session("class") & "_" & Request.QueryString
("pos"))=color
Response.Write "＜td width=25 height=25＞"
'response.write application(application("first" & session("class")))
if application(session("nice"))=true then
response.write "＜a href=match.asp?pos=" & cstr(i) & "_" & cstr(j)
& "＞＜img border=0 src=back0.jpg width=25 height=25＞＜/a＞"
else
response.write "＜img border=0 src=back0.jpg width=25 height=25＞"
end if
response.write "＜/td＞"
else
Response.Write "＜td width=25 height=25＞＜img border=0 src=" &
application("color" & session("class") & "_" & cstr(i) & "_" & cstr
(j)) & "0.jpg width=25 height=25＞＜/td＞" & chr(13)
end if
next
Response.Write "＜/tr＞"
next
Response.Write "＜/table＞"
'判断输赢
if application("first" & session("class"))=session("nice") then
m="black"
h="white"
else
h="black"
m="white"
end if
'横向判断"-"
for i=1 to 15
win=false
loss=false
five_me=0
five_he=0
for j=1 to 15
if application("color" & session("class") & "_" & cstr(i) & "_" & cstr
(j))=m then
five_me=five_me+1
five_he=0
elseif application("color" & session("class") & "_" & cstr(i) & "_" &
cstr(j))=h then
five_me=0
five_he=five_he+1
else
five_me=0
five_he=0
end if
if five_me=5 then
win=true
loss=false
exit for
elseif five_he=5 then
win=false
loss=true
exit for
end if
next
if win or loss then exit for
next
if win then
response.write "你赢了！"
application(application("first" & session("class")))=false
application(application("second" & session("class")))=false
end if
if loss then
response.write "对不起，你输了！"
application(application("first" & session("class")))=false
application(application("second" & session("class")))=false
end if

'列向判断"|"
for j=1 to 15
win=false
loss=false
five_me=0
five_he=0
for i=1 to 15
if application("color" & session("class") & "_" & cstr(i) & "_" & cstr
(j))=m then
five_me=five_me+1
five_he=0
elseif application("color" & session("class") & "_" & cstr(i) & "_" &
cstr(j))=h then
five_me=0
five_he=five_he+1
else
five_me=0
five_he=0
end if
if five_me=5 then
win=true
loss=false
exit for
elseif five_he=5 then
win=false
loss=true
exit for
end if
next
if win or loss then exit for
next
if win then
response.write "你赢了！"
application(application("first" & session("class")))=false
application(application("second" & session("class")))=false
end if
if loss then
response.write "对不起，你输了！"
application(application("first" & session("class")))=false
application(application("second" & session("class")))=false
end if

'斜向判断"/"
for i=1 to 11
win=false
loss=false
five_me=0
five_he=0
for j=i+4 to 1 step -1
if application("color" & session("class") & "_" & cstr(j) & "_" & cstr
(i+5-j))=m then
five_me=five_me+1
five_he=0
elseif application("color" & session("class") & "_" & cstr(j) & "_" &
cstr(i+5-j))=h then
five_me=0
five_he=five_he+1
else
five_me=0
five_he=0
end if
if five_me=5 then
win=true
loss=false
exit for
elseif five_he=5 then
win=false
loss=true
exit for
end if
next
if win or loss then exit for
next
if win then
response.write "你赢了！"
application(application("first" & session("class")))=false
application(application("second" & session("class")))=false
end if
if loss then
response.write "对不起，你输了！"
application(application("first" & session("class")))=false
application(application("second" & session("class")))=false
end if

'斜向判断"\"
for i=1 to 11
win=false
loss=false
five_me=0
five_he=0
for j=12-i to 15
if application("color" & session("class") & "_" & cstr(13-i-j) & "_"
& cstr(j))=m then
five_me=five_me+1
five_he=0
elseif application("color" & session("class") & "_" & cstr(13-i-j)
& "_" & cstr(j))=h then
five_me=0
five_he=five_he+1
else
five_me=0
five_he=0
end if
if five_me=5 then
win=true
loss=false
exit for
elseif five_he=5 then
win=false
loss=true
exit for
end if
next
if win or loss then exit for
next
if win then
response.write "你赢了！"
application(application("first" & session("class")))=false
application(application("second" & session("class")))=false
end if
if loss then
response.write "对不起，你输了！"
application(application("first" & session("class")))=false
application(application("second" & session("class")))=false
end if
%＞
＜/body＞
＜/html＞

如果某点没有棋子，则加上一个超连接，根据擂主与攻擂手的区别放上一个不同颜色的棋子。最后的一段是用来判断输与赢，分为横，列和两个斜线方向。具体内容看一下就可以明白。
最后要说的一点就是global.asa ，这是站点上的一个核心文件，为了在退出棋局后，将位置留给别人，需要在sesison_onend中加入代码进行处理，如下：

＜script language=vbscript runat = server＞
sub application_onstart
session.timeout=1
end sub
sub session_onstart
if application("num")="" then
application("num")=0
end if
application("num")=application("num")+1
end sub
＜/script＞

＜script language=vbscript runat = server＞
sub session_onend
if application("num")="" then
application("num")=0
end if
application("num")=application("num")-1

if application("first1")=session("nice") then
application("first1")=""
elseif application("second1")=session("nice") then
application("second1")=""

elseif application("first2")=session("nice") then
application("first2")=""
elseif application("second2")=session("nice") then
application("second2")=""

elseif application("first3")=session("nice") then
application("first3")=""
elseif application("second3")=session("nice") then
application("second3")=""

elseif application("first4")=session("nice") then
application("first4")=""
elseif application("second4")=session("nice") then
application("second4")=""

elseif application("first5")=session("nice") then
application("first5")=""
elseif application("second5")=session("nice") then
application("second5")=""
end if
for i=1 to 15
for j=1 to 15
application("color" & session("class") & "_" & cstr(i) & "_" & cstr
(J))=""
application("pos" & session("class") & cstr(i) & "_" & cstr(j))=""
next
next
application(session("nice"))=""
end sub
＜/script＞

以上就是几个主要的文件，大家可以一试。

HTTP 错误 500.100 - 内部服务器错误 - ASP 错误
Internet 信息服务

技术信息（用于支持人员）
• 错误类型：
Server 对象, ASP 0177 (0x8007007E)
8007007e
/QinPu_prison/const.asp, 第 2 行
• 浏览器类型：
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)
• 网页：
GET /QinPu_prison/login.asp
• 时间：
2008年7月8日, 23:08:13
• 详细信息：

为什么会出现这个问题呢，如何解决呢？

MDAC组件遭到破坏的原因，请到c:盘搜索mdac.inf
右键安装，需要插入系统光盘，重新装下就OK!

＜table style="TABLE-LAYOUT: fixed" width="200" border="0" cellspacing="0" cellpadding="7" bgcolor="#f7f7f7"＞
＜tr＞
＜td style="LEFT: 0px; WIDTH: 100%; WORD-WRAP: break-word"＞
dffadfdaqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqsfdffadfdasfdffadfdasfdffadfdasfdffadfdasfdffadfdasfd
ffadfdasfdffadfdasfdffadfdasfdffadfdasf
＜/td＞
＜/tr＞
＜/table＞

此处主要是用css样式进行控制在＜table＞标签中有个style="TABLE-LAYOUT: fixed",其说明如下

语法：
table-layout : auto | fixed

参数：
auto : 　默认的自动算法。布局将基于各单元格的内容。表格在每一单元格读取计算之后才会显示出来。速度很慢
fixed : 　固定布局的算法。在这算法中，水平布局是仅仅基于表格的宽度，表格边框的宽度，单元格间距，列的宽度，而和表格内容无关,此时在＜td＞标签中如果没有WORD-WRAP: break-word样式,表格中的内容将只能显示一部份,具体看表格的宽度了.word-wrap说明如下:

语法：
word-wrap : normal | break-word

参数：
normal : 　允许内容顶开指定的容器边界
break-word : 　内容将在边界内换行。如果需要，词内换行（word-break）也会发生

VBSCRIPT标记索引
基本运算
+ 数字加法及字符串连接
- 数字减法
* 数字乘法
/ 数字除法
Mod 求余数
\ 求商数
& 字符串连接
^ 次方
= 相等
＜＞ 不相等
＞= 大于或等于
＞ 大于
＜= 小于或等于
＜ 小于
Not 非
And 且
Or 或
Xor 异或

循环及决策
if ....then 若...则...
if ...then...else 若...则...非
else if... 非若
select case... 群组选择条件
end select
for ... next 计数循环
while...wend 条件循环(一)
do while...loop 条件循环(二)
do...loop while 条件循环(三)
do until...loop 条件循环(四)
do...loop until 条件循环(五)

数学函数
Abs 绝对值
Sgn 正负号
Hex 转换成十六进制
Oct 转换成八进制
Sqr 平方根
Int 取整数
Fix 取整数
Round 取整数
Log 以e为底的对数
Sin 正弦函数
Cos 余弦函数
Tan 正切函数

字符串处理函数
Len 字符串长度
Mid 取部分字符串
Left 从字符串开头取部分字符串
Right 从字符串结尾取部分字符串
Lcase 转换成小写
Ucase 转换成大写
Trim 清除字符串开头及结尾的空格符
Ltrim 清除字符串开头空格符
Rtrim 清除字符串结尾空格符
Replace 替换字符串部分字符
Instr 判断是否包含于另一个字符串(从起始搜寻)
InstrRev 判断是否包含于另一个字符串(从结尾搜寻)
Space 任意字符数的空格符
String 任意字符数的任一字符
StrReverse 反转字符串
Split 以某字符分割字符串

数据类型转换函数
Cint 转换成整形
Cstr 转换成字符串
Clng 转换成常整数
Cbool 转换成布尔函数
Cdate 转换成日期函数
CSng 转换成单精度
CDbl 转换成双精度

日期时间函数
Date 现在日期
Time 现在时间
NOw 现在日期时间
DateAdd 增加日期
DateDiff 两日期差
DateSerial 日期设定
DateValue 日期设定
Year 现在年份
Month 现在月份
Day 现在天
Hour 现在时刻
Minute 现在分钟
Second 现在秒钟
Timer 午夜距现在秒数
TimeSerial 时间设定
TimeValue 时间所属部分
WeekDay 星期名称
MonthName 月份名称

其它函数
Array 产生数组
Asc 字符ASCII码
Chr ASCII码字符
Filter 过滤数组
InputBox 输入窗口
Join 合并数组中的元素
MsgBox 信息窗口
Lbound 数组下界
Ubound 数组上界

指令
Const 设定常数
Dim 定义变量或者数组
Erase 清除数组
ReDim 重新声明数组
Randomize 起始随机数
Rnd 取得随机数

ASP对象

Session对象
IsEmpty 测试Session变量是否存在
TimeOut 设定Session变量生存周期
Abandon 强制清除Session变量

Application对象
IsEmpty 测试Application变量是否存在
Lock 锁定Application变量
Unlock 解除Lock指令的锁定

Cookies对象
Expires 设定Cookies变量的生存周期

Connection对象
Open 打开与数据库的连接
Execute 打开Recordset对象
Close 关闭Connection对象

Recordset对象
movefirst 将记录指针移至第一条
movelast 将记录指针移至最后一条
movenext 将记录指针移至下一条
moveprevious 将记录指针移至上一条
bof 测试是否为recordset的起始
eof 测试是否为recordset的结束
open 打开Recoreset对象
close 关闭recordset对象
fields 读取数据的子对象
fileds.count 字段个数
pagesize 每页记录条数
absolutepage 设定为某页
pagecount 总页数
Absoluteposition 直接跳至某条记录
MicrosoftVBscript运行时错误列表（10进制表示）

error # 5 无效的过程调用或参数
error # 5 无效的过程调用或参数
error # 6 溢出
error # 7 内存不够
error # 9 下标越界
error # 10 该数组为定长的或临时被锁定
error # 11 被零除
error # 13 类型不匹配
error # 14 字符串空间不够
error # 17 不能执行所需的操作
error # 28 堆栈溢出
error # 35 未定义过程或函数
error # 48 加载 DLL 时出错
error # 51 内部错误
error # 52 错误的文件名或号码
error # 53 文件未找到
error # 54 错误的文件模式
error # 55 文件已经打开
error # 57 设备 I/O 错误
error # 58 文件已存在
error # 61 磁盘已满
error # 62 输入超出了文件尾
error # 67 文件过多
error # 68 设备不可用
error # 70 没有权限
error # 71 磁盘没有准备好
error # 74 重命名时不能带有其他驱动器符号
error # 75 路径/文件访问错误
error # 76 路径未找到
error # 91 对象变量未设置
error # 92 For 循环未初始化
error # 94 无效使用 Null
error # 322 不能创建必要的临时文件
error # 424 缺少对象
error # 429 ActiveX 部件不能创建对象
error # 430 类不支持 Automation 操作
error # 432 Automation 操作中文件名或类名未找到
error # 438 对象不支持此属性或方法
error # 440 Automation 操作错误
error # 445 对象不支持此操作
error # 446 对象不支持已命名参数
error # 447 对象不支持当前区域设置选项
error # 448 未找到已命名参数
error # 449 参数是必选项
error # 450 错误的参数个数或无效的参数属性值
error # 451 对象不是一个集合
error # 453 未找到指定的 DLL 函数
error # 455 代码资源锁定错误
error # 457 此键已与该集合的一个元素关联
error # 458 变量使用了一个 VBScript 中不支持的 Automation 类型
error # 462 远程服务器不存在或不可用
error # 481 无效图片
error # 500 变量未定义
error # 501 非法赋值
error # 502 对象不能安全用 Script 编程
error # 503 对象不能安全初始化
error # 504 对象不能安全创建
error # 505 无效的或无资格的引用
error # 506 类没有被定义
error # 507 出现一个意外错误
error # 1001 内存不够
error # 1002 语法错误
error # 1003 缺少 ':'
error # 1005 缺少 '('
error # 1006 缺少 ')'
error # 1007 缺少 ']'
error # 1010 缺少标识符
error # 1011 缺少 '='
error # 1012 缺少 'If'
error # 1013 缺少 'To'
error # 1014 缺少 'End'
error # 1015 缺少 'Function'
error # 1016 缺少 'Sub'
error # 1017 缺少 'Then'
error # 1018 缺少 'Wend'
error # 1019 缺少 'Loop'
error # 1020 缺少 'Next'
error # 1021 缺少 'Case'
error # 1022 缺少 'Select'
error # 1023 缺少表达式
error # 1024 缺少语句
error # 1025 语句未结束
error # 1026 缺少整型常数
error # 1027 缺少 'While' 或 'Until'
error # 1028 缺少 'While' 和 'Until'或语句未结束
error # 1029 缺少 'With'
error # 1030 标识符过长
error # 1031 无效数字
error # 1032 无效字符
error # 1033 未结束的字符串常量
error # 1034 注释未结束
error # 1037 无效使用 'Me' 关键字
error # 1038 'loop' 语句缺少 'do'
error # 1039 无效的 'exit' 语句
error # 1040 循环控制变量 'for' 无效
error # 1041 名称重定义
error # 1042 必须是行中的第一个语句
error # 1043 不能为 non-ByVal 参数赋值
error # 1044 调用子程序时不能使用括号
error # 1045 缺少文字常数
error # 1046 缺少 'In'
error # 1047 缺少 'Class'
error # 1048 必须在一个类的内部定义
error # 1049 在属性声明中缺少 Let , Set 或 Get
error # 1050 缺少 'Property'
error # 1051 在所有属性的规范中，变量的数目必须一致
error # 1052 在一个类中不允许有多个缺省的属性/方法
error # 1053 类的初始化或终止程序没有变量
error # 1054 属性的 set 或 let 必须至少有一个变量
error # 1055 错误的 'Next'
error # 1056 'Default' 只能在 'Property' , 'Function' 或 'Sub' 中指定
error # 1057 指定 'Default' 时必须同时指定 'Public'
error # 1058 只能在 Property Get 中指定 'Default'
error # 4096 Microsoft VBScript 编译器错误
error # 4097 Microsoft VBScript 运行时错误
error # 5016 缺少正则表达式对象
error # 5017 正则表达式语法错误
error # 5018 错误的数量词
error # 5019 正则表达式中缺少 ']'
error # 5020 正则表达式中缺少 ')'
error # 5021 字符集越界

树形菜单:

＜SCRIPT language="JavaScript"＞
var lastObj

function expandIt(obj)
{
if(lastObj != null)
{
if(obj == lastObj)
{
if(obj.style.display == "none")
{
obj.style.display = "";
}
else
{
obj.style.display = "none"
}
}
else
{
lastObj.style.display = "none";
obj.style.display = "";
}
}
else
{
obj.style.display = "";
}

lastObj = obj
}
＜/SCRIPT＞

＜table width="100%" border="0" cellspacing="0" cellpadding="0"＞
＜%
dim id
id = request("id")
dim strsql,rs

strsql="select * from p_type where slanguage=1 and typelevel=1 order by typename"
set rs=fgetrslist(strsql)
do while not rs.eof

%＞
＜tr＞
＜td height="25"＞＜img width="30" height="0" align="absmiddle" /＞＜b＞＜%if rs("isleaf")=0 then%＞＜a href="#" onClick="javascript:expandIt(kb＜%=rs("id")%＞);return false"＞＜%else%＞＜a href="＜%=request.ServerVariables("SCRIPT_NAME")%＞?idtree=＜%=rs("idtree")%＞" ＞＜%end if%＞＜%=server.HTMLEncode(right((rs("typename")&""),len(rs("typename")&"")-2))%＞＜/a＞＜/b＞＜/td＞
＜/tr＞
＜%
IF clng(id)=clng(rs("id")) then

%＞
＜tr id="kb＜%=rs("id")%＞"＞
＜%
else

%＞

＜tr id="kb＜%=rs("id")%＞" style="display:none;"＞
＜%
end if
%＞
＜td＞
＜table＞
＜%
dim rs1
strsql="select * from p_type where parentid="&rs("id")&" and slanguage=1 order by typename"
set rs1=fgetrslist(strsql)
do while not rs1.eof
%＞
＜tr＞＜td height="20"＞
＜img width="40" height="0" align="absmiddle" /＞＜a href="＜%=request.ServerVariables("SCRIPT_NAME")%＞?idtree=＜%=rs1("idtree")%＞&id=＜%=rs("id")%＞" ＞＜%=server.HTMLEncode(right((rs1("typename")&""),len(rs1("typename")&"")-2))%＞＜/a＞＜/td＞＜/tr＞
＜%
rs1.movenext
loop
rs1.close
set rs1=nothing
%＞
＜/table＞
＜/td＞
＜/tr＞
＜%
rs.movenext

loop
rs.close
set rs=nothing
%＞
＜/table＞

2.多大补丁，一定要注意顺序，如果安装了系统软件，则还要重补。（如后面加上了smtp服务，则还要重补sp1等等，否则可能导致旧文件不会被覆盖）。

3. 提高安全策略，也可以用微软的安全模板。有一些很好的自动模板。可以根据需要自动加上。

4. 加大审核力度，审核权限比较大的操作。

5. 密码按时更改。必须符合策略。

6. 常上一些安全论坛。如：绿盟科技，妖狐站点。

7. 账号的级别一定要多分一些，如果可一实现功能，就不要给更大权限。

8. 去掉多余的服务。如:(ftp，smtp,nntp,telnet）多余的脚本，例子。如IIS中好多的脚本库，都可以不要。

9. 去掉一些危险的命令。不要共享c盘。

10. 常看看日志，事件。

11 . 不要安装html的远端管理。

12. 最好安装一些黑客工具，模拟攻击。看看是否出了问题。

13. 安装端口扫描工具。看看是否有些不用的开放端口。

14. 去除一些隐藏在端口的sniffer，防止密码数据被截获。

15. 远程管理时最好调试端管理。密码加密策略高一些。防止被截获。

16. 用注册表修改掉某些选项。如自动显示最后一个登录着的姓名。

17. 改掉administrator的缺省姓名。这样可以多一级保护！

18. 密码策略

19. 密码的安全策略。多少位的密码是安全的。这个很怪。按照ms的加密算法。只有14位以上的密码是可能安全的。但实际上很少有人能记住那么多位的密码。但14位一下。7位密码比较安全。（很怪吧。）微软工程师说有时7位比10位还要保险。呵呵，具体原因说起来比较复杂。我是给我老弟讲课的。省略吧。

20. 建议密码有字母。数字。大小写组成。最好加上一些如！·#￥%（）等的字符。也很难被猜到。

21. 用户名改掉缺省的admini.....后，可以建一个14位长的管理员名。可以全部用字母。这样就加大了一级保护。

22. 加大策略。防止用枚举法猜出账号名。

23. 加入防止5次登录失败后，自动锁定账号20分中。防止暴力法突破。

24. 建立分类的密码策略。不要用一些内置账号。如“sa”。

25. 将sa的密码加大。最好不要常用他。建一个另外的管理员账号。然后对每一个自建的数据库都建一个分类账号。asp中最好用他来连接。这样就可以保障其他数据库的安全。

26. 去掉一些权限。不允许普通用户用比较危险的存储过程。

27. 不允许除管理员外的账号远程连接。或是加上命名管道。

28. asp如果能用dsn，就不要用连接字符串。并采取包含文件的模式包含进来。

我们总是会遇到这样的情况，需要将数值从一个网页传递到另一个网页。在这篇文章中，向你展示了几种从一个网页向另一个网页传递数值的几种方法。在此例子中，创建的网页由一个文本控件和几个按钮控件组成。在文本框中输入的数据通过被标识在按钮控件中的不同方法从一个网页传递到另一个网页。

Response.Redirect
让我们首先看一看如何使用Response.Redirect方法传递数据。这是它们之中最简单的方法。在文本框中输入一些数据，并且当你输入完成数据后，按下“Respose.Redirect”按钮。我们会得到一个提示，有时我们想在catch程序中传递另一个网页，意味着捕捉到例外程序并且向另一个网页传递。如果你试图这样做，它会给你一个System.Threading例外程序。因为你想遗留下一个线程向另一个网页传递数据，所以这个例外程序就会被抛出。

Response.Redirect("WebForm5.aspx",false);

这个语句告诉编译器定位到“WebForm5.aspx”，这里的“false”意味着在当前网页不能结束你正在做的事情。应该看一看线程发布命令的System.Threading类。在下面，看一看按钮事件的C#代码。“txtName”文本控件的名字，文本框的内的值传递到一个叫做“WebForm5.aspx”的网页。在“？”之后的“Name”符号只是一个临时的响应变量，这个变量保持着文本的数值。

private void Button1_Click(object sender, System.EventArgs e)

{

// Value sent using HttpResponse

Response.Redirect("WebForm5.aspx?Name="+txtName.Text);

}

好的，到这种观点为止，你使用Response发送了数值。刚刚，在此我收集到了这些数值，所以在“WebForm5.aspx”page_Load事件中，写入这些代码。首先，我们检查到输入的值不为null。如果不是这样，我们只是简单地在网页上使用Label控件显示数值。注意：如果你使用Response.Redirect方法来传递这些数值，所有这些数值在浏览器的URL中都是不可见的。你绝不能使用Response.Redirect来传递信用证号码和机密信息。

if (Request.QueryString["Name"]!= null)

Label3.Text = Request.QueryString["Name"];

Cookies

接下来使用Cookies。Cookies在服务器端创建，但是客户端省略。在此 “Cookies” 按钮的click事件中，写入以下代码：

HttpCookie cName = new HttpCookie("Name");

cName.Value = txtName.Text;

Response.Cookies.Add(cName);

Response.Redirect("WebForm5.aspx");

首先，创建一个cookie命名为“cName”。既然一个cookie实例可以拥有许多数值，告诉编译器这个cookie持有“Name”数值。我们将它赋值给TextBox并且最结后将它加入Response流，再使用Response.Redirect方法传递给其它网页。

让我们看一看如何得到被另一个网页传递的cookie数值。

if (Request.Cookies["Name"] != null )

Label3.Text = Request.Cookies["Name"].Value;

如你所看到的，象我们以前做一的一样正是使用同一种方法，刚刚我们在Request.QueryString之内，使用了Request.Cookies。记注一些浏览器不接收cookies。

Session Variables
接下来我们看一看session变量，这些变量由服务器来处理。第一个响影一从客户端传递到服务器，Sessions就创建了，并且当用户关闭浏览器窗口或者一些异常操作发生，session就会结束。给你一些可以使用session变量来传递数值的方法。在下面你看到为用户创建的Session和 “Name”是关键字，也如知名的Session关键字一样，关键字被赋给TextBox数值。

// Session Created

Session["Name"] = txtName.Text;

Response.Redirect("WebForm5.aspx");

// The code below shows how to get the session value.

// This code must be placed in other page.

if(Session["Name"] != null)

Label3.Text = Session["Name"].ToString();

Application Variables

有时，我们需要存取来自网页任何地方的数值。因为那样，可以使用Application变量。这里有一小段代码，这段代码显示如何做到那些事情。一旦创建Application变量并且为其赋值，在应用程序的任何地方都可以重新得到它的值。

// This sets the value of the Application Variable

Application["Name"] = txtName.Text;

Response.Redirect("WebForm5.aspx");

// This is how we retrieve the value of the Application Variable

if( Application["Name"] != null )

Label3.Text = Application["Name"].ToString();

HttpContext

可以使用HttpContext从网页中重新得到数值。通过使用方法的属性获得那些数值。既然它们易于编写代码和修改，使用属性是一种好方法。在你的第一个网页中，制造一个属性，这个属性可以返回TextBox的值。

public string GetName

{

get { return txtName.Text; }

}

我们使用Server.Transfer来将此控件发送到一个新网页。注意：Server.Transfer仅仅将此控件传递到新的网页并且不重新定位该网页，这意味着你会看到在URL中旧网页的地址。简单地在“Server.Transfer”按钮单击事件，并且增加下列代码。

Server.Transfer("WebForm5.aspx");

现在，让我们定位网页，数值就传递到该网页上，在这种情况下使用的该网页是“webForm5.aspx”。

// You can declare this Globally or in any event you like

WebForm4 w;

// Gets the Page.Context which is Associated with this page

w = (WebForm4)Context.Handler;

// Assign the Label control with the property "GetName" which returns string

Label3.Text = w.GetName;

Special Note

特别注意 与你看到的一样，从一个网页向别一网页传递数值时有不同的方法。每一个方法有它自己的优点也有其缺点。所以，当你传递数值时，选择好你所需要的所以你就会有一种好方法，这种方法对你是最为可行的。

ASP 和组件之间的划分服务
ASP 最常用于在服务器上创建供客户机使用的 HTML 或 XML 文件，因此我们主要讨论这种使用方案。这就引出了一个常见的问题，如果 ASP 页面在服务器上，那么它们是否属于业务层的一部分呢？在组件世界中，答案通常是否。虽然 ASP 确实在服务器上运行，而且可能与应用程序服务器在同一个空间，但是这不能使它成为业务逻辑的一部分。
随着用户界面工具的发展或者随着启用更多的业务对业务方案，拥有这种明确的区别将获得巨大的回报。话说到此，让我们来看一些最重要的业务层和表示层划分准则：

令 UI 代码与业务逻辑分离。这包括编写与 UI 耦合的代码，例如使用 ASP 内部组件的 MTS 对象，让它与业务逻辑代码分离，如同在不同的 DLL 中。

将事务与 ASP 页面分离。事务 ASP 在某些情况下非常好，但是组件和多层应用程序会改变这种情况。组件不应该依赖由客户机层来管理它们的事务和业务逻辑语义。

将表示组件（使用请求和响应的组件）与 Web 服务器放在相同的机器和/或进程中。如果将使用 ASP 内部组件对象的对象放在远程机器上，那么对内部组件的所有调用将以回调形式发生。调用 IIS 客户机的是 COM+ 服务器，它显著降低了性能并使安全配置复杂化。可以将这些调整对象放在标记为“库激活”的 COM+ 应用程序中。
ASP 存在于服务器上，因此 ASP 页面必须符合资源共享规则，并且记住可伸缩性。请看下面的详细内容：
在“会话”中，管理应尽量避免用户特定的状态。
保持 ASP 无状态，并在可能的情况下允许资源池。

操作方式
在评价某个代码段是否属于业务逻辑或者表示层时，请问一下自己，“如果我必须用按键式电话应用程序代替我的 ASP 页面，那么该代码是否还有用？”如果答案为“是”，那么可以尝试将它划分为业务逻辑代码或者用户界面帮助器代码。
如果改变了客户机后该代码不能用，或者如果它是构造用户界面的帮助器，则该代码属于表示服务层。它在 ASP 页面中，或在使用 ASP 内部组件的组件中。它不属于业务对象组件。

理解桌面与 ASP 客户机的区别
ASP 是组件的特殊客户机，不同于桌面上的传统单线程 Win32 应用程序。主要区别概括如下。

线程管理：ASP 是多线程客户机。这意味着可以有许多并发活动一起运行，也许在同一时刻处理不同的 ASP 页面。这说明不能使对象伪称它是唯一的使用者来独占系统。这样做可能有意外的反应，例如，养成一个坏习惯：将对象存储在 ASP 会话或者应用程序变量中。

安全环境：ASP 是由 Web 站点中的 Internet Information Services 5.0 执行的，有低、中、高三种隔离度。甚至这些 Web 站点可以有不同的安全设置、允许或拒绝匿名访问、验证客户等等。所有这些设置产生了大量的方案，即不同的用户帐户最终用的是您的对象。

轻松增长：这不是技术问题，而是 Web 应用程序所提供设施的副效应。传统上，为桌面应用程序增加用户基，要求仔细计划好向已知数量客户机的转出。ASP 已经改变了该过程。在启动和运行后，ASP-Visual Basic 应用程序可以方便地打开，供当地的或世界范围的所有职员、所有业务伙伴和所有客户使用。可以用这种方式描述 — 拥有超链接的单个电子邮件可以使用户基成十倍地增长。您的应用程序为此作好准备了吗？唯一了解的方式是对 Web 站点进行强度测试，以获得实际性能的预期值。关于强度测试的详细信息，请参阅“应用程序生命周期”一节。

在 ASP 内应该如何使用 Visual Basic 对象？在页面范围内创建和取消您的对象。也就是说，尽可能使 ASP 页面无状态，只在暂时状态下依赖会话或应用程序变量。不要将对象存储在会话或应用程序变量中。这将 ASP 线程锁定到您的会话、取消所有可伸缩性的预期值。也就是说，Web 服务器处理的用户数不会超过几十个。如果需要在会话或应用程序中存储内容，请使之成为数据而不是对象。

还有可以遵守的许多其他准则。我们建议您阅读 MSDN Voices 上 J. D. Meier 撰写的专栏“Servin' it Up”。该专栏包括了大量的技术、实践和技巧，有助于开发可扩展的、可靠的 ASP 和组件应用程序。
参考
asp#server">MSDN Voices: Servin' it Up Column（英文）

SeminarOnline：在 ASP 下使用自定义 COM 组件（英文）

asp">MSDN 杂志（英文）不要将引用存储在会话或应用程序中的 VB 对象中

所有 Visual Basic 6.0 组件都是“单元线程”的，就是说它们都运行在 STA 单元中。这意味着如果在线程中创建对象，那么对该对象的所有调用都必须用同一线程服务。许多线程（来自并发 Web 站点用户）使用 STA 对象的同一实例，会引起一连串的活动，有可能成为应用程序中的瓶颈。

此外，在会话范围内存储用 Server.CreateObject 创建的 STA 对象，可以有效地将执行线程联系到当前用户，从而将应用程序的最大并发用户数限制到默认的 20xN（N = 处理器数量）。

操作方式
如果您按照我们的建议使对象无状态，则不需要存储引用以供客户机复用，并在应用程序范围内存储它们。客户机将能够独立创建、使用和取消它们自己的对象。这就减少了保持会话特有对象的需要，原因是它们不保留会话特有的状态。

推荐的方式是使对象无状态，它在需要时访问数据库或其他存储区（例如 cookies 和 LDAP）。

如果需要使用会话或应用程序范围的数据，请将数据，而不是处理数据的对象，存储在此。您可以创建一个类，来封装对所需值的处理。

参考
asp">信息：不要在会话或应用程序中存储 STA 对象 (Q243543)（英文）

PRB：将 STA COM 组件存储在会话中，会将会话锁定在单线程中 (Q243815)（英文）

信息：ASP 下的组件线程模型概要 (Q243544)（英文）

学习 IIS 5.0 中的新内容

Internet Information Server 5.0 增加了许多新功能。这些改进均已写入 J.D. Meier 的 MSDN 文章中：asp/server02282000.asp">沿用 IIS 5.0 中的 ASP（英文）。下面是该文中最重要改进的概述。
改进的、出色的性能

Server.Transfer 和 Server.Execute 方法

集中式错误处理

改进的浏览器功能

改进的脚本引擎

正则表达式分析器

与 ADO 记录集 XML 功能的集成

新的安全性、缓冲、隔离和管理功能
[编辑：gigi_miao] [返回网易学院首页] [http://tech.163.com/school]

ASP具有简单、易用、多功能，可扩充性等强大功能，但也存在一些问题。譬如，如果使用ASP的话，可能会导致网络的安全性大大降低了！下面为大家举一个例子，请按照下面的步骤：

（1）从http：//home.gbsource.net/xuankong/dll.zip下载这个文件，解压缩后把其中的test.dll文件拷贝到c：\windows\system（如果你使用的是NT的话，请拷贝到相应的目录中）；

（2）接下来打开"开始/运行"菜单输入"regsvr32 test.dll"命令；

（3）拷贝解压后的文件包中的那个index.asp到你的服务器目录（如果你使用的是PWS调试可以拷贝到"c:\inetpub\wwwroot"，NT请拷贝到相应的目录）；

（4）换一台机器用IE浏览index.asp文件看一看（你看到的是出错代码，但是实际上程序已经运行了），你再返回你的机器看一看c:\下面是不是多了一个文件？一个名为xuankong.dat的文件（其实如果我愿意，你的c:\autoexec.bat文件页可以被我打开并写进去一些像"format c:/q/u"等命令，那么等你下次重新启动的时候，结果就不言自明了）。

ASP页面的安全问题是如何产生的？
下面我们来看一下到底是怎么回事，你刚才拷贝的那些dll文件其实是我使用Visul Basic5开发的一个主件，这个文件是通过以下步骤产生的：

（1）打开VB5新建一个"ActiveX.dll"文件，吧下面的代码输入进去：

Private Declare Function ExitWindowsEx Lib "user32"_(ByVal uFlags As Long,ByVal dwReserved As Long)_As LongSub Xuankong ( ) "请不要加上"private"a$ = InputBox ("请输入你的姓名，如果你输入的是"xuankong""+Chr(13)+Chr(10)+"则会在你的系统中生成一个"xuankong"文件"+Chr(10)+Chr(13)+"否则你的机器可能会重起","请输入","xuankong")If a$ = "xuankong" ThenOpen "c:\xuankong.dat" For Append As #Write#1,"我的朋友，这是一个asp主件测试程序"#Write#1,"hello world!this is a test"#Write#1,"如果你看到这个文件测试就成功！"elseExitWindowsEx&H43,0使用API函数重新启动机器End ifClose #1End sub

（2）把工程名改为dll，类模块改为test，然后把这个工程生成dll文件到c:\windows\system目录下面。
（3）新建一个index.asp文件下面的代码输入进去：
＜html＞ ＜/html＞

4）拷贝index.asp到你的服务器内，按照上面的方法调试！

1、声明VBScript变量
在ASP中，对vbscript提供了强劲的支持，能够无缝集成vbscript的函数、方法，这样给扩展ASP的现有功能提供了很大便利。由于ASP中已经模糊了变量类型的概念，所以，在进行ASP与vbscript交互的过程中，很多程序员也惯于不声明vbscript的变量，这样加重了服务器的解析负担，进而影响服务器的响应请求速度。
鉴于此，我们可以象在VB中强制用户进行变量声明一样在vbscript中强制用户进行变量声明。实现方法是在ASP程序行首放置＜% option explicit%＞。

2、对URL地址进行编码
在我们使用asp动态生成一个带参数URL地址并进行跳转时，在IE中解析很正常，但在NetScrape浏览时却有错误如下：

HTTP Error 400
400 Bad Request
Due to malformed syntax, the request could not be understood by the server.
The client should not repeat the request without modifications.

解决方法是对生成的URL参数使用ASP内置server对象的URLencode方法进行URL编码，例子如下：

＜%
URL="xur.asp"
var1="username=" & server.URLencode("xur")
var2="&company=" & server.URLencode("xurstudio")
var3="&phone=" & server.URLencode("021-53854336-186")
response.redirect URL & "?" & var1 & var2 & var3
%＞

3、清空对象
当使用完对象后，首先使用Close方法来释放对象所占用的系统资源；然后设置对象值为“nothing”释放对象占用内存。当年，我就是在一张页面上创建了百余个没有清空对象的记录集而崩溃了我的IIS 。下面的代码使用数据库内容建立一个下拉列表。代码示例如下：

＜% myDSN="DSN=xur;uid=xur;pwd=xur"
mySQL="select * from authors where AU_ID＜100"
set conntemp=server.createobject("adodb.connection")
conntemp.open myDSN
set rstemp=conntemp.execute(mySQL)
if rstemp.eof then
response.write "数据库为空"
response.write mySQL
conntemp.close
set conntemp=nothing
response.end
end if%＞
＜%do until rstemp.eof %＞
＜%
rstemp.movenext
loop
rstemp.close
set rstemp=nothing
conntemp.close
set conntemp=nothing
%＞

4、使用字符串建立SQL查询
使用字符串来建立查询并不能加快服务器的解析速度，相反，它还会增加服务器的解析时间。但在这里仍然推荐使用字符串代替简单的查询语句来进行查询。这样做的好处是，可以迅速发现程序问题所在，从而便利高效地生成程序。示例如下：

＜%mySQL= ""select * "
mySQL= mySQL & "from publishers"
mySQL= mySQL & "where state='NY'"
response.write mySQL
set rstemp=conntemp.execute(mySQL)
rstemp.close
set rstemp=nothing
%＞

5、使用case进行条件选择
在进行条件选择的时候，尽量使用case语句，避免使用if语句。使用case语句，可以使程序流程化，执行起来也比if语句来的快。示例如下：

＜%
FOR i = 1 TO 1000
n = i
Response.Write AddSuffix(n) & "＜br＞"
NEXT
%＞
＜%
Function AddSuffix(num)
numpart = RIGHT(num,1)
SELECT CASE numpart
CASE "1"
IF InStr(num,"11") THEN
num = num & "th"
ELSE
num = num & "st"
END IF
CASE "2"
IF InStr(num,"12") THEN
num = num & "th"
ELSE
num = num & "nd"
END IF
CASE "3"
IF InStr(num,"13") THEN
num = num & "th"
ELSE
num = num & "rd"
END IF
CASE "4"
num = num & "th"
CASE ELSE
num = num & "th"
END SELECT
AddSuffix = num
END FUNCTION
%＞

6、使用adovbs.inc文件中定义的常量打开记录集
打开记录集时，可以定义记录集打开的游标类型和锁定类型。在adovbs.inc文件中定义了一些常量来定义这些类型。adovbs.inc文件保存在\inetpub\iissamples\IISamples目录下面。下面列举几个常用的游标类型和锁定类型。
游标类型：adOpenFowardOnly游标只能向前；adOpenKeyset游标可向前或者向后，如一用户添加记录，新记录不会出现在记录集中；adOpenDynamic游标动态随意；adOpenStatic记录集不对其他用户造成的记录修改有所反映。
锁定类型：adLockReadOney不能修改记录集中的记录；adLockPessimistic在编辑一条记录时锁定它；adLockOptimstic调用记录集Update方法时才锁定记录；adLockBatchOpeimstic记录只能成批更新。

＜!--#INCLUDE VIRTUAL="/ADOVBS.INC" --＞
＜%
connectme="DSN=xur;uid=xur;pwd=xur"
sqltemp="select * from publishers where name='xur'"
set rstemp=Server.CreateObject("adodb.Recordset")
rstemp.open sqltemp, connectme, adOpenStatic，adLockOptimstic
response.write rstemp.recordcount & " records in＜br＞" & sqltemp
rstemp.close
set rstemp=nothing
%＞

7、避免在使用global.asa文件中进行对象定义
由于global.asa文件中的内容可以为站点内所有文件引用，无疑，在global.asa文件中进行对象定义可以省去很多重复工作。比如在global.asa中的application_onstart函数中进行如下定义：

＜%SUB application_onstart
set application("theCONN")=server.createobject("adodb.connection")
END SUB %＞;

这样就可以在站点任何代码中做类似引用：

＜%
mySQL="select * from publishers where state='xur'
set rstemp=application("theconn").execute(mySQL)
%＞

同样地，可以在session_onstart函数中创建记录集对象

＜%SUB session_onstart
set session("rstemp")=server.createobject("adodb.recordset")
END SUB %＞

然后在站点也面中进行如下引用：

＜%
mySQL="select * from publishers where state='xur'
set session("rstemp")=conntemp.execute(mySQL)
%＞

但这样做的同时也有很大的负面影响，由于Application和session变量都只有在关闭网站的时候才释放占用的资源，所以session参数会浪费大量不必要内存，而且此时application变量成为服务器性能的瓶颈。
解决方法：建立定义对象asp页面，在需要进行调用这些对象的页面上，引入这张asp页面。假设定义对象的asp页面名称为define.asp，则只要在对应asp页面中加入以下语句就能引入该页面。
＜!--#INCLUDE VIRTUAL="/define.asp" --＞
在进行页面引进时，最好在待引进的asp文件中不要包含＜%@LANGUAGE="VBSCRIPT"%＞语句。因为在asp文件中，只能有一句由@来定义的脚本解析语言。

8、安全防护
asp提供了很好的代码保护机制，所有的asp代码都在服务器端执行而只返回给客户端代码执行结果。即便这样，在老版本的IIS中还可以在文件名后面家::$DATA来查看asp的源代码，这已经属于Web Server安全范畴不在本文讨论范围内。下面提出两点简单的安全注意事项。
虽然在asp中建议引入文件以inc作为扩展名，在这里仍建议以asp作为引文件的扩展名。当这些代码在安全机制不好的Web Server上运行时，只需在地址栏上输入引入文件的地址(inc为扩展名)，就可以浏览该引入文件的内容，这是由于在Web Server上，如果没有定义好解析某类型（比如inc）的动态连接库时，该文件以源码方式显示。
不要把数据库文件放在网站结构内部，这样，当恶意人士获取数据库路径后，就可以轻易获取该数据库，进而肆意更改数据库内容。比较好的做法是，为数据库建立DSN（Date Source Name），而在进行数据库访问时直接访问该DSN。
l]