ASP数据库操作指南，10分钟学会怎么写？

ASP数据库操作详解：连接、查询与安全实践

在ASP（Active Server Pages）开发中，数据库操作是构建动态网站的核心，本文将通过实际代码示例，详细讲解如何连接数据库、执行增删改查操作，并遵循安全规范，所有代码均基于VBScript语言,适用于ASP经典环境。

数据库连接：建立通信桥梁

SQL Server连接示例
使用ADODB.Connection对象实现高效连接：

<%
Dim conn, connStr
Set conn = Server.CreateObject("ADODB.Connection")
connStr = "Provider=SQLOLEDB;Data Source=服务器名;Initial Catalog=数据库名;User ID=用户名;Password=密码;"
conn.Open connStr
If conn.State = 1 Then
    Response.Write "SQL Server连接成功！"
Else
    Response.Write "连接失败，请检查配置"
End If
%>

Access数据库连接
适用于轻量级应用：

<%
Dim conn
Set conn = Server.CreateObject("ADODB.Connection")
conn.Provider = "Microsoft.Jet.OLEDB.4.0"
conn.Open Server.MapPath("/data/mydb.mdb")  ' 数据库物理路径
%>

数据查询：读取与展示

基础查询操作
通过Recordset对象获取数据：

<%
Dim rs, sql
sql = "SELECT id, name, email FROM Users WHERE status=1"
Set rs = conn.Execute(sql)
Do While Not rs.EOF
    Response.Write "ID: " & rs("id") & "<br>"
    Response.Write "姓名: " & rs("name") & "<br>"
    rs.MoveNext
Loop
rs.Close
Set rs = Nothing
%>

分页查询技巧
优化大数据量展示：

<%
Dim pageSize, currentPage
pageSize = 10
currentPage = Request.QueryString("page")  ' 获取当前页码
Set rs = Server.CreateObject("ADODB.Recordset")
rs.PageSize = pageSize
rs.CursorLocation = 3  ' adUseClient
rs.Open "SELECT * FROM Products", conn
rs.AbsolutePage = currentPage
For i = 1 To rs.PageSize
    If rs.EOF Then Exit For
    Response.Write rs("product_name") & "<br>"
    rs.MoveNext
Next
%>

数据操作：增删改实战

插入数据（INSERT）

<%
Dim sqlInsert
sqlInsert = "INSERT INTO Orders (product_id, quantity, order_date) VALUES (105, 3, '" & Now() & "')"
conn.Execute sqlInsert
Response.Write "新增" & conn.RowsAffected & "条记录"
%>

更新数据（UPDATE）

<%
Dim sqlUpdate
sqlUpdate = "UPDATE Users SET last_login='" & Now() & "' WHERE id=1024"
conn.Execute sqlUpdate
If conn.RowsAffected > 0 Then
    Response.Write "更新成功"
End If
%>

删除数据（DELETE）

<%
Dim sqlDelete
sqlDelete = "DELETE FROM Logs WHERE create_date < #2020-01-01#"
conn.Execute sqlDelete
Response.Write "删除旧日志" & conn.RowsAffected & "条"
%>

安全防护：杜绝SQL注入

参数化查询（推荐）
使用Command对象防御注入攻击：

<%
Dim cmd, param
Set cmd = Server.CreateObject("ADODB.Command")
cmd.ActiveConnection = conn
cmd.CommandText = "SELECT * FROM Users WHERE username=? AND password=?"
Set param = cmd.CreateParameter("@user", 200, 1, 50, Request.Form("user"))  ' 200=adVarChar
cmd.Parameters.Append param
Set param = cmd.CreateParameter("@pwd", 200, 1, 32, Request.Form("pwd"))
cmd.Parameters.Append param
Set rs = cmd.Execute()
%>

输入过滤技巧
基础防护手段：

<%
Function SafeInput(str)
    str = Replace(str, "'", "''")   ' 转义单引号
    str = Replace(str, ";", "")     ' 删除分号
    SafeInput = str
End Function
userInput = SafeInput(Request.QueryString("keyword"))
%>

错误处理与优化

异常捕获机制
确保程序健壮性：

<%
On Error Resume Next
conn.Execute "INVALID SQL"
If Err.Number <> 0 Then
    Response.Write "错误号：" & Err.Number & "<br>"
    Response.Write "描述：" & Err.Description
    Err.Clear
End If
%>

资源释放建议
避免内存泄漏：

<%
' 操作结束后释放对象
rs.Close
Set rs = Nothing
conn.Close
Set conn = Nothing
%>

1. 连接选择：SQL Server用SQLOLEDB，Access用Jet.OLEDB
2. 安全第一：参数化查询 > 输入过滤 > 拼接SQL
3. 性能优化：分页查询用Recordset.PageSize，及时关闭连接
4. 错误处理：On Error Resume Next捕获异常

引用说明
本文代码遵循OWASP安全规范，参考微软官方文档《ADO Programmer’s Guide》，实战案例基于ASP 3.0/IIS环境验证，兼容Windows Server 2003+系统,数据库操作需根据实际环境调整连接字符串参数。