已经讲到这里了，再提醒各位论坛站长一句，小心你们的文件上传：为什么论坛程序被攻破后主机也随之被攻击者占据。原因就在……对！ASP 木马！一个绝对可恶的东西。病毒么？非也.把个文件随便放到你论坛的程序中，您老找去吧。不吐血才怪哦。如何才能防止ASP木马被上传到服务器呢？方法很简单，如果你的论坛支持文件上传，请设定好你要上传的文件格式，我不赞成使用可更改的文件格式，直接从程序上锁定，只有图象文件格式，和压缩文件就完全可以，多给自己留点方便也就多给攻击者留点方便。怎么判断格式，我这里收集了一个，也改出了一个，大家可以看一下：

　　程序体（10）

　　’判断文件类型是否合格
　　Private Function CheckFileExt (fileEXT)
　　dim Forumupload
　　Forumupload="gif,jpg,bmp,jpeg"
　　Forumupload=split(Forumupload,",")
　　for i=0 to ubound(Forumupload)
　　if lcase(fileEXT)=lcase(trim(Forumupload(i))) then
　　CheckFileExt=true
　　exit Function
　　else
　　CheckFileExt=false
　　end if
　　next
　　End Function
　　‘验证文件内容的合法性

set MyFile = server.CreateObject ("Scripting.FileSystemObject")
　　set MyText = MyFile.OpenTextFile (sFile, 1) ’ 读取文本文件
　　sTextAll = lcase(MyText.ReadAll): MyText.close
　　’判断用户文件中的危险操作
　　sStr ="8　.getfolder　.createfolder　.deletefolder　.createdirectory　
　　.deletedirectory"
　　sStr = sStr & "　.saveas　wscript.shell　script.encode"
　　sNoString = split(sStr,"　")
　　for i = 1 to sNoString(0)
　　if instr(sTextAll, sNoString(i)) ＜＞ 0 then
　　sFile = Upl.Path & sFileSave: fs.DeleteFile sFile
　　Response.write "＜center＞＜br＞＜big＞"& sFileSave &"文件中含有与操作目录等有关的命令"&_
　　"＜br＞＜font color=red＞"& mid(sNoString(i),2) &"＜/font＞，为了安全原因，＜b＞不能上传。＜b＞"&_"＜/big＞＜/center＞＜/html＞"
　　Response.end
　　end if
　　next

　　把他们加到你的上传程序里做一次验证，那么你的上传程序安全性将会大大提高.

　　什么？你还不放心？拿出杀手锏，请你的虚拟主机服务商来帮忙吧。登陆到服务器，将PROG ID 中的"shell.application"项和"shell.application.1"项改名或删除。再将”WSCRIPT.SHELL”项和”WSCRIPT.SHELL.1”这两项都要改名或删除。呵呵，我可以大胆的说，国内可能近半以上的虚拟主机都没改过。只能庆幸你们的用户很合作，否则……我删，我删，我删删删……

　　攻击原理：在用Access做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称，那么他也能够下载这个Access数据库文件，这是非常危险的。

　　防范技巧：

　　（1）为你的数据库文件名称起个复杂的非常规的名字，并把它放在几层目录下。所谓 “非常规”，打个比方说，比如有个数据库要保存的是有关书籍的信息，可不要给它起个“book.mdb”的名字，而要起个怪怪的名称，比如d34ksfslf.mdb，并把它放在如./kdslf/i44/studi/的几层目录下，这样黑客要想通过猜的方式得到你的Access数据库文件就难上加难了。

　　（2）不要把数据库名写在程序中。有些人喜欢把DSN写在程序中，比如：

　　DBPath = Server.MapPath（“cmddb.mdb”）
　　conn.Open “driver={Microsoft Access Driver （*.mdb）}；dbq=” & DBPath

　　假如万一给人拿到了源程序，你的Access数据库的名字就一览无余了。因此建议你在ODBC里设置数据源，再在程序中这样写：

　　conn.open“shujiyuan”

　　（3）使用Access来为数据库文件编码及加密。首先在“工具→安全→加密/解密数据库”中选取数据库（如：employer.mdb），然后按确定，接着会出现“数据库加密后另存为”的窗口，可存为：“employer1.mdb”。

　　要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。

　　接下来我们为数据库加密，首先打开经过编码了的 employer1.mdb，在打开时，选择“独占”方式。然后选取功能表的“工具→安全→设置数据库密码”，接着输入密码即可。这样即使他人得到了 employer1.mdb文件，没有密码他也是无法看到 employer1.mdb中的内容。

　　7、防范远程注入攻击

　　这类攻击在以前应该是比较常见的攻击方式,比如POST攻击,攻击者可以随便的改变要提交的数据值已达到攻击目的.又如:COOKIES 的伪造,这一点更值得引起程序编写者或站长的注意，不要使用COOKIES来做为用户验证的方式,否则你和把钥匙留给贼是同一个道理.

　　比如:

　　If trim(Request. cookies ("uname"))="fqy" and Request.cookies("upwd") =”fqy#e3i5.com” then
　　……..more………
　　End if

　　我想各位站长或者是喜好写程序的朋友千万别出这类错误,真的是不可饶恕.伪造COOKIES 都多少年了，你还用这样的就不能怪别人跑你的密码.涉及到用户密码或者是用户登陆时,你最好使用session 它才是最安全的.如果要使用COOKIES就在你的COOKIES上多加一个信息,SessionID,它的随机值是64位的,要猜解它,不可能.例:

　　if not (rs.BOF or rs.eof) then
　　login="true"
　　Session("username"&sessionID) = Username
　　Session("password"& sessionID) = Password
　　‘Response.cookies(“username”)= Username
　　‘Response.cookies(“Password”)= Password

　　下面我们来谈谈如何防范远程注入攻击,一般的攻击都是将单表提交文件拖到本地,将Form ACTION=”chk.asp” 指向你服务器中处理数据的文件即可.如果你全部的数据过滤都在单表页上，那么恭喜你，你将已经被脚本攻击了.

　　怎么才能制止这样的远程攻击?好办,请看代码如下: 程序体(9)

　　＜%
　　server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
　　server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
　　if mid(server_v1,8,len(server_v2))＜＞server_v2 then
　　response.write "＜br＞＜br＞＜center>"
　　response.write " "
　　response.write "你提交的路径有误，禁止从站点外部提交数据请不要乱改参数！"
　　response.write "

"
　　response.end
　　end if
　　%>

‘个人感觉上面的代码过滤不是很好，有一些外部提交竟然还能堂堂正正的进来,于是再写一个.

　　‘这个是过滤效果很好,建议使用.

　　if instr(request.servervariables("http_referer"),"http://"&request.servervariables("host") )<1 then response.write "处理 URL 时服务器上出错。

　　如果您是在用任何手段攻击服务器，那你应该庆幸，你的所有操作已经被服务器记录，我们会第一时间通知公安局与国家安全部门来调查你的IP. "

　　response.end
　　end if
　　程序体(9)

　　本以为这样就万事大吉了，在表格页上加一些限制,比如maxlength啦,等等..但天公就是那么不作美,你越怕什么他越来什么.你别忘了,攻击者可以突破sql注入攻击时输入框长度的限制.写一个SOCKET程序改变HTTP_REFERER？我不会。网上发表了这样一篇文章：

　　------------len.reg-----------------
　　Windows Registry Editor Version 5.00
　　[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\扩展(&E)]
　　@="C:\Documents and Settings\Administrator\桌面\len.htm"
　　"contexts"=dword:00000004
　　-----------end----------------------
　　-----------len.htm------------------
　　
　　----------end-----------------------

　　用法:先把len.reg导入注册表(注意文件路径)

　　然后把len.htm拷到注册表中指定的地方.

　　打开网页,光标放在要改变长度的输入框上点右键,看多了一个叫扩展的选项了吧

　　单击搞定! 后记:同样的也就可以对付那些限制输入内容的脚本了.

　　怎么办？我们的限制被饶过了，所有的努力都白费了？不，举起你de键盘，说不。让我们继续回到脚本字符的过滤吧，他们所进行的注入无非就是进行脚本攻击。我们把所有的精力全都用到ACTION以后的页面吧，在chk.asp页中，我们将非法的字符全部过滤掉，结果如何？我们只在前面虚晃一枪，叫他们去改注册表吧，当他们改完才会发现，他们所做的都是那么的徒劳。

ASP (Active Server Pages) 是服务器端的脚本编写环境，它由微软公司的IIS3.0以上版本支持。它可用来创建动态 Web 页或生成功能强大的 Web应用程序。ASP页是包括 HTML 标记、文本和脚本命令的文件。ASP页可调用ActiveX组件来执行任务，例如连接到数据库或进行商务计算。通过ASP，可为您的Web页添加交互内容 或用HTML页构成整个Web应用程序，这些应用程序使用HTML页作为您的客户的界面。

二、ASP模型

浏览器从Web服务器上请求 .asp文件时，ASP 脚本开始运行。然后Web服务器调用ASP，ASP全面读取请求的文件，执行所有脚本命令，并将Web页传送给浏览器。

ASP提供了一个在HTML页中使用现有脚本语言如 Microsoft VBScript 和 Microsoft JScript 的框架。

ASP提供内建对象，这些对象使用户更容易收集通过浏览器请求发送的信息、响应浏览器以及存储用户信息。包括Application、 Request、Response、Server、Session 和ObjectContext 对象。其中最为常用的为Request、Response 和Server三个对象，它们分别用于从浏览器请求信息、向浏览器发送信息和访问服务器上对象的属性和方法。

三、ADO

ASP和后台数据库连接使用微软的ADO(ActiveX Data Objects)，ADO是一项容易使用并且可扩展的将数据库访问添加到Web页的技术。可以使用ADO去编写紧凑简明的脚本以便连接到Open Database Connectivity(ODBC)兼容的数据库和 OLE DB兼容的数据源。

ADO包含7个内置对象，它们分别为Connection、Command、RecordSet、Fields、Error、Parameters和Properties。通过这些对象，ASP可以完成对后台数据库的所有操作。

四、ASP调用视图和存储过程

在一般的MIS应用中，会有大量的报表，此时我们可以在后台数据库编写相应的视图或存储过程，用ASP通过ADO调用以完成报表工作。下面用一个例子说明相应的操作过程。

1.创建 ODBC DSN 文件

在创建数据库脚本之前，必须提供一条使ADO定位、标识和与数据库通讯的途径。数据库驱动程序使用Data Source Name (DSN) 定位和标识特定的ODBC兼容数据库，将信息从 Web 应用程序传递给数据库。

2. 调用数据库视图

访问数据库信息的第一步是和数据库源建立连接。ADO提供Connection对象，可以使用该对象建立和管理应用程序和 ODBC数据库之间的连接。

<%
Set Dataconn = Server.CreateObject("ADODB.Connection") '建立连接对象
Dataconn.Open "DSN=SinoTrans;SERVER=APP_SERVER;
UID=sa;PWD=;APP=Microsoft (R) Developer Studio;WSID=APP_SERVER;Regional=Yes"
Set cmdTemp = Server.CreateObject("ADODB.Command") '建立命令对象
Set rst= Server.CreateObject("ADODB.Recordset") '建立记录集对象
cmdTemp.CommandText = "Customers "
cmdTemp.CommandType = 2
Set cmdTemp.ActiveConnection = DataConn
rst.Open cmdTemp, , 1, 3 '生成查询结果
%>

此时，Customers为视图，从视图中查询数据与从基表中查询数据的方法是相同的。

3.调用数据库存储过程

<%
Set Dataconn = Server.CreateObject("ADODB.Connection") '建立连接对象
Dataconn.Open "DSN=SinoTrans;SERVER=APP_SERVER;UID=sa;
PWD=;APP=Microsoft (R) Developer Studio;WSID=APP_SERVER;Regional=Yes"
Set cmdTemp = Server.CreateObject("ADODB.Command") '建立命令对象
Set rst = Server.CreateObject("ADODB.Recordset") '建立记录集对象
cmdTemp.CommandText = "dbo.pd_test" '存储过程名称
cmdTemp.CommandType = 4 '命令类别为4,表示为存储过程
Set cmdTemp.ActiveConnection = Dataconn
Set tmpParam = cmdTemp.CreateParameter("Return Value", 3, 4, 4)
cmdTemp.Parameters.Append tmpParam
Set tmpParam = cmdTemp.CreateParameter("@BeginDate", 135, 1, 16, riqi)
'创建输入参数对象
cmdTemp.Parameters.Append tmpParam
rst.Open cmdTemp, , 1, 3 '生成查询结果
%>

这里调用的存储过程为pd_test，这种是ADO中提供的标准方法，但存在一个问题，就是当在存储过程中有两个以上的SELECT语句，但 从逻辑上又不可能同时执行的时候，ADO会提示你存储过程中SELECT语句太多，解决方法是直接用ADO的CONNECTION对象的EXECUTE方 法直接执行存储过程，如下：

<%
Set Dataconn = Server.CreateObject("ADODB.Connection") '建立连接对象
Dataconn.Open "DSN=SinoTrans;SERVER=APP_SERVER;UID=sa;PWD=;
APP=Microsoft (R) Developer Studio;WSID=APP_SERVER;Regional=Yes"
ss = "EXECUTE dbo.pd_test " & "'" & riqi1 & "'"
Set rs = dataconn.Execute(ss)
%>

有关ASP和ADO使用的详细信息，请参阅 Microsoft ActiveX Data Objects (ADO) 和Active Server Pages（ASP）的详细参考。

五、结束语

在B/S结构的开发中，我们可以把一些商业规则或复杂查询用存储过程在DBMS中编写，然后用ASP中的ADO对象调用，完成原来C/S结构中的传统功能。

我的环境是WINDOWS98+PWS4.0+mysql-3.23.32-win+PHP4
必要的软件：PWS4.0（呵呵，废话）
mysql-3.23.32-win（这个是最新版的）
myodbc-2.50.36-dll（这个是最重要的，MYSQL ODBC的驱动程序，可以到www.mysql.com下载）
第一步：安装MYSQL ODBD的驱动程序，将下载的myodbd-2.50.46-dll文件复制到windows\system目录下(windows2000
是winnt/system32)
然后建立一新文件，扩展名为reg（就是注册表文件）,将以下内容复制到该文件中。
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBCINST.INI\myodbc driver]
"UsageCount"=dword:00000002
"Driver"="C:\\WINDOWS\\System\\myodbc.dll"
"Setup"="C:\\WINDOWS\\System\\myodbc.dll"
"SQLLevel"="1"
"FileUsage"="0"
"DriverODBCVer"="02.50"
"ConnectFunctions"="YYY"
"APILevel"="1"
"CpTimeout"="120"
[HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBCINST.INI\ODBC Drivers]
"myodbc driver"="installed"

保存后双击该文件，将上面代码注册到WINDOWS注册表中。
如果安装在windows2000中,则Driver和Setup主键的值要做相应改变，这里我想就不用多说了。
如果成功，在控制面板/ODBD数据源的驱动程序里将看到myodbd driver这一项！

第二步：建立ASP文件链接数据库。
这里有两种方法，一种是在ODBC数据源中建立一个系统DSN。后来我发现不建立也可以在ASP中使用MYSQL,方
法在下文将讲道。
打开控制面板/ODBD数据源，选择系统DSN,然后添加一个新的DSN,驱动程序选择myodbd driver,会出现一个对
话框供输入mysql
相关信息。
Windows DSN name: 所要建立DSN的名称
Mysql Host (name or ip):Mysql服务器的名称或者是IP地址，通常填localhost
Mysql database name:需要使用数据库的名称，数据库在Mysql管理程序中建立。这里我们使用一个例子。数
据库名：hc188
里面有数据表：user 数据表有两个字段分别是：username和password,随便插入几个
数据。
user:链接数据库的用户名，我填的是root超级用户
password:链接数据库用户密码，如果没有，可以不填
Port(if not 3306)：Mysql在服务器的端口，如果不填默认为3306
SQL command on connect:使用sql命令链接数据库，这项可以不填
填写完毕后选择OK保存。

下面链接数据库的ASP代码！

<%
strConnection = "dsn=hc188;driver={myodbd driver};server=localhost;uid=root;pwd=;database=hc188"
Set adoDataConn = Server.CreateObject("ADODB.Connection")
adoDataConn.Open strConnection

strQuery = "SELECT * FROM user"
Set rs = adoDataConn.Execute(strQuery)
If Not rs.BOF Then
%>
<TABLE>
<TR>
<TD<b>username</b></TD>
<TD><b>password</b></TD>
</TR>
<%
Do While Not rs.EOF
%>
<TR>
<TD><%=rs("username")%></TD>
<TD><%=rs("password")%></TD>
</TR>
<%
rs.MoveNext
Loop
%>
</TABLE>
<%
Else
Response.Write("Sorry, no data found.")
End If

rs.Close
adoDataConn.Close
Set adoDataConn = Nothing
Set rsEmailData = Nothing
%>

第二种方法：我在使用中想过如果不建立系统DSN，是否也可以使用MYSQL数据库呢？结果是可以的。
方法很简单，把上面ASP代码第二行代码改为：
strconnection="DefaultDir=;Driver={myodbc driver};database=hc188"

我奇怪的发现，这种方法连用户名和密码都不需要就可以使用。是不是MYSQL的一个BUG呢？

以上代码全部经测试通过！

到此，全文结束了，是不是很简单呢！希望能帮上你！

做人要厚道，请注明转自酷网动力(www.ASPCOOL.COM)。

在ASP中你可以这样做:
<%
set conn = Server.CreateObject("ADODB.Connection")
conn.open "<conn string>"
set rs = conn.execute("exec myProc @param1=" & fakeValue)
response.write "New ID was " & rs(0)
rs.close: set rs = nothing
conn.close: set conn = nothing
%>

2.Access
对于Access,你可以用下面这样的方法：
<%
set conn = Server.CreateObject("ADODB.Connection")
conn.open "<conn string>"
conn.execute "Insert into someTable(intField) values(" & fakeValue & ")"
set rs = conn.execute("select MAX(ID) from someTable")
response.write "New ID was " & rs(0)
rs.close: set rs = nothing
conn.close: set conn = nothing
%>
然而对于多人同时向数据库中添加数据，我们就要利用记录集的adOpenKeyset游标来防止出错。例如下面的例子:
<%
set conn = Server.CreateObject("ADODB.Connection")
conn.open "<conn string>"
set rs = Server.CreateObject("ADODB.Recordset")
rs.open "select [intField] from someTable where 1=0", conn, 1, 3
rs.AddNew
rs("intField") = fakeValue
rs.update
response.write "New ID was " & rs("id")
rs.close: set rs = nothing
conn.close: set conn = nothing
%>

上五篇

<%
"Sql=Select top 5 * From content Where id>"&id
%>

下五篇

<%
"Sql=Select top 5 * From content Where id<"&id&" order by id desc"
%>

说明：此帖代码均是VBScript版本。另外最好你对手写ASP已经有一定的基础。

先简单介绍一下俺这个类的一些特点：

1. 可同时操作多个不同类型的数据库。
2. 完全不用考虑数据类型的差别，再也不用想字符型字段加不加单引号。
3. 调用非常简单，对数据库的主要操作一般只需要一行代码。
4. 支持mssql事务回滚。
5. 可自动生成和输出sql语句方便调试。

使用方法：

1. 修改clsDbctrl.asp文件中的第1行为你自己的数据库位置(修改方法参考下面的CreatConn函数说明)。如需连接多个数据库可自行添加，格式相同。

2. 在你新建的asp文件中包含此asp文件。如：
<!--#include file="Inc/clsDbctrl.asp" --> 或者：
<!--#include virtual="/Inc/clsDbctrl.asp"-->

3.使用如下代码应用此类：

一个数据库连接：

<%
OpenConn() '打开数据库连接
Dim db : Set db = New DbCtrl '建立对象
'Your Code Here......
Co(db) : CloseConn() '释放对象，关闭数据库连接
%>

或者(一个或者多个数据库连接)：

<%
Dim db1 : Set db1 = New DbCtrl : db1.dbConn = Oc(a)
Dim db2 : Set db2 = New DbCtrl : db2.dbConn = Oc(b)
'Your Code Here......
Co(db1) : Co(db2)
%>

4.具体操作的例子可以参考各函数说明内的代码示例。

方法和属性概览（详细用法及例子在下面）：

引用：
CreatConn 生成数据库连接字符串
Oc 建立数据库连接
Co 释放对象
OpenConn 打开默认数据库连接
CloseConn 关闭默认数据库连接
dbCtrl.dbConn 属性，获取要操作的数据库连接，默认值为Conn
dbCtrl.dbErr 属性，只读，输出捕获的错误信息
dbCtrl.Version 属性，只读，程序版本信息
dbCtrl.AutoId 方法，自动获取唯一序列号
dbCtrl.GetRecord 方法，取得符合条件的纪录集
dbCtrl.GetRecordBySql 方法，根据sql语句取得纪录集

dbCtrl.GetRecordDetail 方法，根据某一条指定纪录的详细数据
dbCtrl.AddRecord 方法，添加一个新的纪录
dbCtrl.UpdateRecord 方法，根据指定条件更新纪录
dbCtrl.DeleteRecord 方法，删除符合条件的纪录
dbCtrl.ReadTable 方法，根据指定条件获取某条纪录中的其他字段的内容
dbCtrl.C 方法，关闭纪录集对象
dbCtrl.wGetRecord,
dbCtrl.wAddRecord,
dbCtrl.wUpdateRecord,
dbCtrl.wDeleteRecord 这4个方法是取得相应的操作(前面加w)的sql语句

参数约定：

由于ASP没有Arguments对象，不能使用动态参数，所以，在本类的代码中，使用了Array(数组)来达到这一效果。本类中的部分参数可以使用数组(参数说明中有注明)，但使用数组时应参照以下格式：

Array("Field1:Value1", "Field2:True", "Field3:100")

对，有点像json的格式，如果涉及到变量，那就这样：

Array("Field1:" & Value1, "Field2:" & Value2, "Field3:" & Value3)

可以这样说，本类中的几乎所有与数据库字段相关的内容都可以用以上的数组格式来设置条件或者是获取内容。而这里最大的特点就是在使用时不用去考虑字段的类型，在字段后跟一个冒号，接着跟上相应的值就行了。如果你经常手写ASP程序的话，你很快就会感受到运用这种方式的魅力，除了数据类型不用考虑之外，它也很方便随时添加和删除条件。如果你还不明白怎么用的话没关系，下面有很多例子可以说明这个问题。

要把ASP的数据库操作封装起来其实并不难，相信大家以前自己也做过类似的代码或是借用过其他人的封装好的代码。但是就如各位知道的一样，使用封装后的代码一旦出错，排错是一个比较麻烦的事情，一般说来，封装后操作越简单的排错也越复杂。俺在写这些代码的时候已经尽我所能考虑到如果出错的话如何去排查错误，在尽可能简化用户操作数据库的代码的同时可以随时输出sql语句排查错误。

最后需要说明一点，本文所涉及的ASP数据库操作并不适合大型数据，如你所知，操作大型数据最好还是使用存储过程之类的东东比较好，以后俺会考虑把对存储过程的操作也封装进去。还有一个效率问题，要追求高效率的话，用ASP还是应该考虑COM+等，所以再次声明，本类适用的对象是中小型 ASP项目。

好了，下面奉上详细使用说明：

一．数据库连接

考虑到大多数人的使用习惯，在数据库连接上使用了公共过程，所以需要大家在代码里自行修改，如果你已经建立了数据库连接，把这几行注释掉就行了。代码中内置了MSSql,Access,MySQL,Oracle4种数据库的连接方式，当然你也可以自行在源代码中增加或删除。修改例如：

Dim a : a = CreatConn(0, "TestData", "localhost", "username", "userpassword")
Dim b : b = CreatConn(1, "Data/%TestDb%.mdb", "", "", "")

说明一下，第1个参数可以是字符串。如果是使用Access，则第2个参数输入相对路径和绝对路径都是可以的，如有密码也可以在第5个参数中输入，如：

Dim c : c = CreatConn("ACCESS", "E:\MyWeb\Data\%TestDB%.mdb", "", "", "mdbpassword")

相关函数：

原 型：CreatConn(dbType, strDB, strServer, strUid, strPwd)
功 能：建立数据库连接字符串
返回值：String
参 数：
dbType : Integer or String 连接数据库类型
(0 or "MSSQL") - Microsoft SQL Server
(1 or "ACCESS") - Microsoft Office Access
(2 or "MYSQL") - MySQL Server
(3 or "ORACLE") - Oracle Server
strDB : String 数据库名或数据库地址(Access使用绝对或者相对路径均可)
strServer : String 数据库服务器地址,Access请留空

strUid : String 数据库用户名,Access请留空
strPwd : String 数据库密码

原 型：Oc(connStr)
功 能：打开数据库连接
返回值：Object 数据库连接对象
参 数：
connStr : String 数据库连接字符串，由CreatConn函数生成

原 型：Co(obj)
功 能：关闭对象
参 数：
obj : Object 要关闭的对象名称

原 型：OpenConn
功 能：打开默认数据库连接，会自动建立一个名称为Conn的连接对象
参 数：无

原 型：CloseConn
功 能：关闭名称为Conn的默认数据库连接对象
参 数：无

二. 数据库操作

下面就是本数据库操作类的函数功能说明，应该算是手册了，请多看例子的应用。

原 型：dbCtrl.dbConn(objConn)
功 能：获取数据库连接对象
参 数：
objConn : Object 已经建立的数据库连接对象
举 例：
Dim db : Set db = New DbCtrl
db.dbConn = Oc(CreatConn(1,"E:\WebSite\MySite\Data\%TestDb%.mdb","","",""))
Co(db)

说 明：此属性为可选，如果不指定此属性则默认数据连接为页面上名称为Conn的数据库连接对象

原 型：dbCtrl.AutoID(TableName)
功 能：自动获取唯一序列号（自动编号）
返回值：Integer
参 数：
TableName : String 需要获得唯一序列号的数据表名
举 例：
Dim newId
newId = db.AutoId("TestTable")
Response.Write(newId)

原 型：dbCtrl.GetRecord(TableName,FieldsList,Condition,OrderField,ShowN)
功 能：取得符合条件的纪录集
返回值：Object 纪录集对象
参 数：
TableName : String 表名称
FieldsList : String 字段名称，用逗号隔开，留空则为全部字段
Condition : String or Array 查询条件，如果是数组应遵循前面的参数约定
OrderField : String 排序方式
ShowN : Integer 获取纪录的数量，相当于sql中的 Select Top N
举 例：
Dim rs
Set rs = db.GetRecord("TestTable","fId,fName,fAge","fSex='男' And IsActive = 1","fName Asc", 0)
While Not rs.eof
Response.Write ("Name is:" & rs(1) & " Age is:" & rs(2) & "<br />")
rs.movenext()
Wend
db.C(rs)

对于以上的例子，用下面的数组方式指定条件是等价的：

Set rs = db.wGetRecord("TestTable","fId,fName,fAge", Array("fSex:男","IsActive:1"), "fName Asc", 0)

另外，你可以用下面的语句来查看这个函数生成的sql语句：

Response.Write(db.wGetRecord("TestTable","fId,fName,fAge", Array("fSex:男","IsActive:1"), "fName Asc", 0))

如你所见，只需要在原来的函数前加一个w即可。

原 型：dbCtrl.GetRecordBySQL(strSelect)
功 能：根据sql语句取得纪录集
返回值：Object 纪录集对象
参 数：
strSelect : String 用于生成记录集的SQL语句
举 例：
Dim rs
Set rs = db.GetRecordBySQL("Select a.Id, a.LastName, b.Group From User a InnerJoin Depart b On a.GroupId = b.GroupId")
'Your Code Here ...
db.C(rs)

原 型：dbCtrl.GetRecordDetail(TableName, Condition)
功 能：根据某一条指定纪录的详细数据
返回值：Object 纪录集对象
参 数：
TableName : String 表名称
Condition : String or Array 查询条件，如果是数组应遵循前面的参数约定
举 例：
Dim rs, Id
Id = Request.QueryString("id")
Set rs = db.GetRecordDetail("TestTable","Id=" & id)
'Your Code here...
db.C(rs)

说 明：就像你已经看出来的一样，这个最常用在打开某个详细页面(比如新闻内容页面)

原 型：dbCtrl.AddRecord(TableName, ValueList)
功 能：添加一个新的纪录
返回值：新记录的Id号(成功) or 0 (失败)
参 数：
TableName : String 表名称
ValueList : Array 插入表的字段和值，只能是数组且应遵循前面的参数约定
举 例：
Dim fName, fSex, fWorkYear, fBirth
fName = "王二坛"
fSex = "男"
fWorkYear = 12
fBirth = Cdate("1981-10-23")
Dim result
result = db.AddRecord("TestTable",Array("Name:"&fName, "Sex:"&fSex, "WorkYear:"&fWorkYear, "Birthday:"&fBirth, "IsActive:True"))
If result<>0 Then
Response.Write("添加记录成功！此记录的自动编号Id为" & result)
End If

看见了吧，真的不用考虑字段的类型是什么滴。
如果你想要代码中的字段和值看得更清楚一点，也可以这样写，但凭卿之所好：

result = db.AddRecord("TestTable",Array("Name:" & fName,_
"Sex:" & fSex,_
"WorkYear:" & fWorkYear,_
"Birthday:" & fBirth,_
"IsActive:True"))

另外，你可以用下面的语句来查看这个函数生成的sql语句：

Response.Write(db.wAddRecord("TestTable",Array("Name:"&fName, "Sex:"&fSex, "WorkYear:"&fWorkYear, "Birthday:"&fBirth, "IsActive:True")))

说 明：返回的Id值用的是比较笨的方法，并不能保证在并发数据量大的时候的准确性，慎用。

原 型：dbCtrl.UpdateRecord(TableName, Condition, ValueList)
功 能：根据指定条件更新纪录
返回值：1 (成功) or 0 (失败)
参 数：
TableName : String 表名称
Condition : String or Array 更新条件，如果是数组应遵循前面的参数约定
ValueList : String or Array 更新的字段及值，如果是数组应遵循前面的参数约定
举 例：
Dim fName, fWorkYear
fName = "王三坛"
fWorkYear = 10
Dim result
result = db.UpdateRecord("TestTable", "UId = 1308", Array("Name:"&fName, "WorkYear:"&fWorkYear))
If result<>0 Then
Response.Write("更新数据成功！")
End If

另外，你可以用下面的语句来查看这个函数生成的sql语句：

Response.Write(db.wUpdateRecord("TestTable", "UId = 1308", Array("Name:"&fName, "WorkYear:"&fWorkYear)))

原 型：dbCtrl.DeleteRecord(TableName,IDFieldName,IDValues)
功 能：删除符合条件的纪录
返回值：1 (成功) or 0 (失败)
参 数：
TableName : String 表名称
IDFieldName : String 表的Id字段的名称
IDValues : String or Array 删除条件，可以是由逗号隔开的多个Id号，如果是数组应遵循前面的参数约定
举 例：
Dim ids, result
ids = Request.Form("selectid") '可以假设这里获取的值是 12, 34, 256, 314 (复选框提交的值都这样)
result = db.DeleteRecord("TestTable", "UId", ids)
If result<>0 Then
Response.Write("删除数据成功！")
End If

当然，你也可以用字符串或者数组指定其它的条件，比如：

result = db.DeleteRecord("TestTable", "UId", "IsActive = 0 And FirstName = 'Tom'")

另外，你可以用下面的语句来查看这个函数生成的sql语句：

Response.Write(db.wDeleteRecord("TestTable", "UId", ids))

原 型：dbCtrl.ReadTable(TableName, Condition, GetFieldNames)
功 能：根据指定条件获取某条纪录中的其他字段的内容
返回值：String (GetFieldNames为单个字段) or Array (GetFieldNames为多个字段)
参 数：
TableName : String 表名称
Condition : String or Array 查询条件，如果是数组应遵循前面的参数约定
GetFieldNames : String 单个字段名或者由逗号隔开的多个字段名
举 例：
Dim uid, result
uid = rs("postid") '假设这里是页面上某个记录集中的用户id值
result = db.ReadTable("UserTable","UId=" & uid, "UserName")
Response.Write("发布者：" & result)

我不得不说，在实际应用中，这个函数可能是用得最多的，你上面看到的就是一个非常常用的例子，从一个值去获取另外一个表中某字段值等于该值的另外一个字段的值（有点拗口，不过确实就是这个意思）。下面的例子将告诉你如何根据这个值获得多个相应的值。

Dim uid, result
uid = rs("postid") '假设这里是页面上某个记录集中的用户id值
result = db.ReadTable("UserTable","UId=" & uid, "UserName,UserSex,UserAge")
Response.Write("发布者：" & result(0) & "<br /> 性别：" & result(1) & "<br /> 年龄：" &result(2))

如你所见，就这么简单，输入多个字段名称得到的是一个数组。

原 型：dbCtrl.C(objRs)
功 能：关闭纪录集对象
参 数：
objRs : Object 页面上的某个记录集对象
举 例：
Dim rs
Set rs = db.GetRecordDetail("TestTable","Id=123" )
'Your Code here...
db.C(rs)

这个函数上面的许多例子都用了，就不多解释了，它等同于rs.close : set rs = nothing。

作者：coldstone 来源：经典论坛 document.body.oncopy = function () { setTimeout( function () { var text = clipboardData.getData("text"); if (text) { text = text + "\r\n本文来自：网页教学网(www.webjx.com)原文链接："+location.href; clipboardData.setData("text", text); } }, 100 ) }

程序代码：

'关键字的搜索
str="select * from tableName where id>4"
if srhKey<>"" then
keyArr=split(srhKey," ")
j=UBound(keyArr)
t=0
dim keystrArr()
for i=0 to j
if keyArr(i)<>"" then
redim preserve keystrArr(t)
strfilter="(empZw like '%"&keyArr(i)&"%' or empDep like '%"&keyArr(i)&"%' or empGz like '%"
strfilter=strfilter&keyArr(i)&"%' or empWy1 like '%"&keyArr(i)&"%' or empWy2 like '%"&keyArr(i)
strfilter=strfilter&"%' or empYq like '%"&keyArr(i)&"%' or com_name like '%"&keyArr(i)&"%')"
keystrArr(t)=strfilter
t=t+1
end if
next
keystr=join(keystrArr," and ")
str=str&" and "&keystr
end if

<BODY>
<form method="post" name=myform>
<%if action="restore" then%><INPUT TYPE="hidden" name="action" value="restore">准备恢复数据库。。。
<%elseif action="backup" then%><INPUT TYPE="hidden" name="action" value="backup">准备备份数据库。。。<%else%>
选择操作：
<INPUT TYPE="radio" name="action" id="act_backup" value="backup"><label for=act_backup>备份</label>
<INPUT TYPE="radio" name="action" id="act_restore" value="restore"><label for=act_restore>恢复</label><%end if%>
<br>数据库名：<INPUT TYPE="text" name="databasename" value="50forum">
<br>文件路径：<INPUT TYPE="text" name="bak_file" value="50forum.bak">(备份或恢复的文件路径)<br>
<input type="submit" value="确定">
</form>
<%
'SQL Server 数据库的备份与恢复!
'http://www.dwww.cn
dim sqlserver,sqlname,sqlpassword,sqlLoginTimeout,databasename,bak_file,act
sqlserver = "localhost" 'sql服务器
sqlname = "sa" '用户名
sqlpassword = "sa" '密码
sqlLoginTimeout = 15 '登陆超时
databasename = trim(request("databasename"))
bak_file = trim(request("bak_file"))
bak_file = Server.MapPath("backup/"&bak_file)
act = lcase(request("action"))

if databasename = "" then
response.write "input database name"
else
if act = "backup" then
Set srv = Server.CreateObject("SQLDMO.SQLServer")
srv.LoginTimeout = sqlLoginTimeout
srv.Connect sqlserver,sqlname, sqlpassword
Set bak = Server.CreateObject("SQLDMO.Backup")
bak.Database = databasename
bak.Devices = Files
bak.Files = bak_file
bak.Action = 0
bak.Initialize = 1
'bak.ReplaceDatabase = True
bak.SQLBackup srv
if err.number>0 then
response.write err.number&"<font color=red><br>"
response.write err.description&"</font>"
end if
Response.write "<font color=green>备份成功!</font>"
srv.disconnect
Set srv = nothing
Set bak = nothing
elseif act = "restore" then
'恢复时要在没有使用数据库时进行！
Set srv=Server.CreateObject("SQLDMO.SQLServer")
srv.LoginTimeout = sqlLoginTimeout
srv.Connect sqlserver,sqlname, sqlpassword
Set rest = Server.CreateObject("SQLDMO.Restore")
rest.Action = 0 ' full db restore
rest.Database = databasename
rest.Devices = Files
rest.Files = bak_file
rest.ReplaceDatabase = True 'Force restore over existing database
if err.number>0 then
response.write err.number&"<font color=red><br>"
response.write err.description&"</font>"
end if
rest.SQLRestore srv

Response.write "<font color=green>恢复成功!</font>"
srv.disconnect
Set srv = nothing
Set rest = nothing
else
Response.write "<font color=red>没有选择操作</font>"
end if
end if
%>
</BODY>
</HTML>

来源：http://www.51windows.Net