收藏本站腾讯微博新浪微博

经典论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

蓝色理想 最新研发动态 网站开通淘帖功能 - 蓝色理想插件 论坛内容导读一页看论坛 - 给官方提建议

论坛活动及任务 地图和邮件任务 请多用悬赏提问 热夏来袭,选一款蓝色理想的个性T恤吧!

手机上论坛,使用APP获得更好体验 急需前端攻城狮,获得内部推荐机会 论坛开通淘帖功能,收藏终于可以分类了!

搜索
查看: 10473|回复: 26

[asp] 农民程序员一周教会你asp第5讲

  [复制链接]
发表于 2011-11-4 14:28:09 | 显示全部楼层 |阅读模式
各位,今天我们来讲cookie和session。

说起这两个家伙来,各位可能会比较陌生。但是它的作用却是和每个人息息相关。举个最简单的例子,我们登陆蓝色经典论坛的时候,需要让我们登陆用户,论坛怎么判断你就是张三呢?就是靠的cookie和session。我们这个留言本现在已经有了编辑和删除的功能,但是并不是谁都能用,需要管理员来管理,怎么判断这个人就是具有管理权限呢,也是靠的cookie或者session。
具体来讲,session和cookie都是服务器为了验证用户标识的时候,产生的一个字符串,只不过session存在与服务器,cookies存在于本地硬盘中。

Session更不需要Cookie来支持和不会受浏览器端的设置影响,可记录每个访问者的信息,独立在服务器端,比Cookie安全!Session是存在内存中的,浏览器关闭它也就“死”了;Cookie是以文件方式存在的,可以修改其“存活”时间。
举个不恰当的例子啊,大家都知道小狗狗在街上走的时候要不停的撒尿,为什么撒尿呢,就是为了占领地盘,标注这个地方是我的,记住来路。狗狗是把标识物放在了客户端,而人是记在了脑子里,所以,回来的时候,你要回忆这条路怎么走,而狗狗闻着味就回来了,你的记忆是很短暂的,可能过会儿就忘了,狗狗的标识却有很长的生命周期,可以自由设定。——这都是些神马例子嘛,口味好重~~~~~

好了,我们来做一个最简单的session模型。
我们在index.asp中生成一个session,然后再其他页面中读取出来。

<%
Session("u_name") = "beris_zhang"
%>

然后我们在bianji.asp页面的最顶部,书写:

您好:<%=Session("u_name")%>

然后我们运行访问index.Asp,这时候session就生成了,每次访问bianji.asp页面,也就是你编辑留言的时候,都会看到顶部的提示:

您好,beris_zhang

只要你不关闭浏览器,且处于活动状态,就永远存在,一般session的生命周期最长也不过20分钟。

那我们来讲讲管理员身份验证的道理:
用户登录→根据用户名,读取相应密码,与输入的密码进行判断→正确无误给予相应的session,然后用户访问bianji页面的时候,页面判断有没有session,如果有,就允许他访问这个页面,对内容进行编辑,否则不允许进来。就这么简单的道理,我们来演示一下。

创建一个文件login.asp,继续用到form表单,传递一个用户名和密码。内容如下:

  1. <FORM METHOD=POST ACTION="loginsave.asp">
  2. 用户:<input type="text" name="username "><BR>
  3. 密码:<input type="password" name="pwd"><BR>
  4. <input type="submit" name="登陆!">
  5. </FORM>
复制代码
增加一个asp文件,叫做loginsave.asp,代码如下:

  1. <%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%>
  2. <!--#include file="inc.asp"-->
  3. <%
  4. username=Trim(Request.Form("username"))
  5. pwd=Trim(Request.Form("pwd"))

  6. If pwd="123" Then
  7.        Session("u_name") = username
  8.        response.write "登陆成功!<a href='index.asp'>返回!</a>"
  9. Else
  10.        response.write "密码不能为空哦!"
  11.        response.End
  12. End If
  13. %>
复制代码
当然,你还要增加上安全判断、用户名密码配对判断功能等等。我仅仅做了一个简单的模型,只要你随便写个用户名,密码是123就能通过验证,并在编辑页面显示出你的session来。

怎么样,基本明白了吗?如果不明白,可以参考一下我的例子。
对于cookie,他的写法基本一样的。

执行下面的代码将会在访问者的计算机中创建一个cookie,名字=username,值=张三

  1. Response.Cookies("username")=”张三”
复制代码
读取出客户端浏览器里面缓存的名字为username的cookie。
Request.Cookies("username ")

通常情况下,当浏览器关闭时,一个cookie就不存在了。但是在许多时候,比如很多网站有“保留用户登录一周”类似的功能,我们希望能更长时间地在访问者的计算机上保存cookie。很幸运,有这样的实现方法。下面的代码,就可以设置cookie的使用到期时间为2012年12月21日:

  1. Response.Cookies("CookieName").Expires=#2012-12-21#
复制代码
执行下面的代码,将设定cookie的过期时间为“cookie的创建时间+365日”:

  1. Response.Cookies("CookieName")=Date+365
复制代码
通过这些学习,我们基本上能够对cookies和session有了一定的了解了吧。鉴于cookies的不安全性和session的短命,将两者结合起来用,不失为一种完美的选择。



------------------------------------------------------------快速链接----------------------------------------------------------------
快速返回:农民程序员一周教会你asp系列导引帖

继续学习:快速跳到下一讲

第五天.rar

17 KB, 下载次数: 401

评分

参与人数 1威望 +1 收起 理由
nealyo + 1 原创内容

查看全部评分

发表于 2011-11-5 13:38:32 | 显示全部楼层
本帖最后由 faeng220 于 2011-11-5 13:49 编辑
Session更不需要Cookie来支持和不会受浏览器端的设置影响,可记录每个访问者的信息,独立在服务器端,比Cookie安全!

这句话实在不敢苟同.

Cookie是Session在 客户端的表现,不知道你有没有发现
在客户端第一次请求(即没有Cookie)时服务器的响应:
Set_Cookie.png

在客户端请求有Cookie时的响应:
Send_Cookie.png



当客户端把Cookie禁用掉,在这种情况下,Web服务器一般会把类似Cookie功能的标记添加在 当前请求页面的URL地址中,类似于:
http://xxx.xxx/aaa.asp?ASPSESSIONXXX=XXXXXXXX  来支持Session的实现.


===============================
还有最后一句Cookie和Session比安不安全,这是完全搭不上边,
至于安不安全完成在于写这个程序的人怎么使用它们.







=============分隔符================================
还有关于你在第2讲中 在ASP的代码中使用  Request.QueryString 取到值之后,
没有做任何验证就将值与要执行的SQL语句联合起来使用, 我想你大概也不知道什么叫 "SQL注入" 吧?
为什么那么多人说ASP不安全?就是因为有相当一部分人把它使用起来太随意,太想当然了.
回复 支持 反对

使用道具 举报

发表于 2011-11-5 14:49:50 | 显示全部楼层
session要靠cookie来维持的
回复 支持 反对

使用道具 举报

 楼主| 发表于 2011-11-5 16:36:58 | 显示全部楼层
本帖最后由 zd8987 于 2011-11-5 16:40 编辑
faeng220 发表于 2011-11-5 13:38
这句话实在不敢苟同.

Cookie是Session在 客户端的表现,不知道你有没有发现


谢谢指教,小弟才疏学浅,仅仅是会复制粘贴代码进行功能的实现,对于抓包之类的功能我还尚未了解。
关于提交的数据未经验证直接使用,我在第二讲和第三讲里面,都提到了,我是在给刚刚入门的人普及原理,不涉及到安全、验证等相关的具体功能,仅仅是个框架,也就是个理论模型,不具有实际使用功能的。如果是从一开始就讲太深奥的东西,这个教程就不是农民程序员所写的了,也就不是给新入门的人看的了。


第三讲里:

当然这些东西都是最基本的,不考虑字段类型啊,长度啊,判断啊等等各种安全性措施,如果需要进一步的学习,可以继续深入研究。

回复 支持 反对

使用道具 举报

发表于 2011-11-7 14:43:51 | 显示全部楼层
人气越来越少啦,看来该要到我出php版本的时候啦
回复 支持 反对

使用道具 举报

发表于 2011-11-7 16:03:49 | 显示全部楼层
讲的好,继续期待中!
回复 支持 反对

使用道具 举报

发表于 2011-11-7 16:21:11 | 显示全部楼层
做好安全,cookies比session有优势。
所以,session一般只做为后台管理员,比如站长管理
cookies则用做前台,比如BI这样成千上万的用户。因为session需要占用服务器资源。
回复 支持 反对

使用道具 举报

发表于 2011-11-7 21:07:36 | 显示全部楼层
这个要跟才行,学习
回复 支持 反对

使用道具 举报

发表于 2011-11-8 09:58:51 | 显示全部楼层
nowphp 发表于 2011-11-7 14:43
人气越来越少啦,看来该要到我出php版本的时候啦

我支持你出PHP版的,呵呵~
回复 支持 反对

使用道具 举报

发表于 2011-11-8 10:10:13 | 显示全部楼层
towering 发表于 2011-11-8 09:58
我支持你出PHP版的,呵呵~

谢谢支持,我打算从这周周末开始出,每周出一集,这样才好让别人去消化,也方便我酝酿
回复 支持 反对

使用道具 举报

发表于 2011-11-8 16:12:35 | 显示全部楼层
nowphp 发表于 2011-11-8 10:10
谢谢支持,我打算从这周周末开始出,每周出一集,这样才好让别人去消化,也方便我酝酿

我第一个拜读~
回复 支持 反对

使用道具 举报

发表于 2011-11-10 14:10:53 | 显示全部楼层
towering 发表于 2011-11-8 16:12
我第一个拜读~

好這個星期天,也提前祝自己光棍節快樂!
回复 支持 反对

使用道具 举报

发表于 2011-11-10 16:21:18 | 显示全部楼层
已经第5讲了 啊,呵呵,错过了1个!
回复 支持 反对

使用道具 举报

发表于 2011-11-12 10:22:46 | 显示全部楼层
万分感谢楼主 找了好就的东西啊  不知道后边有没有关于图片与文件上传的讲解呢
回复 支持 反对

使用道具 举报

发表于 2011-11-13 08:55:55 | 显示全部楼层
说的不错,一周出一课,慢慢消化
回复 支持 反对

使用道具 举报

发表于 2011-11-16 08:57:38 | 显示全部楼层
怎么不继续了么?
回复 支持 反对

使用道具 举报

发表于 2011-11-16 11:08:40 | 显示全部楼层
禁用cookies的同事 session也就不能使用了
回复 支持 反对

使用道具 举报

发表于 2011-11-16 19:12:17 | 显示全部楼层
这些在以前都看过拉!!!
回复 支持 反对

使用道具 举报

发表于 2011-12-10 17:00:57 | 显示全部楼层
继续期待你的下一个讲解
回复 支持 反对

使用道具 举报

发表于 2011-12-30 16:48:35 | 显示全部楼层
感谢楼主的分享
回复 支持 反对

使用道具 举报

发表于 2011-12-30 19:10:23 | 显示全部楼层
哎,楼主好久没来了,太监了。。。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2011-12-31 10:16:59 | 显示全部楼层
不是没来,是不想写了,因为有人说好像在哪儿看过了,我就百度了一下,发现尽管我的这些东西是原创,但是确实是似曾相识,毕竟,asp就那点东西,你写个教程,告诉人家怎么注销session,别人写出来也是这样,那写的实在没有意义了。
回复 支持 反对

使用道具 举报

发表于 2012-1-1 08:49:17 | 显示全部楼层
zd8987 发表于 2011-12-31 10:16
不是没来,是不想写了,因为有人说好像在哪儿看过了,我就百度了一下,发现尽管我的这些东西是原创,但是确 ...

是的,一者asp确实过时了,只不过还挣扎于一些中小企业网站中。
二者,关于网站建设的教程,除了asp就是asp.net,,其次是php
教程都是大把的。

我以为你开始就想好了,有自己不一样的想法才别出心裁的。
既然做了,就要坚持,毕竟还有新手在期待。
还有两节,有时间的话就构思点不一样的东西出来。

关于安全和其它比较高级方面的东西,你不写可以,但最好多处提及一下,否则会害了新人的。
回复 支持 反对

使用道具 举报

发表于 2012-2-11 16:32:43 | 显示全部楼层
支持楼主继续!
最好能再讲讲 lightbox之类的弹出层取数据库内容显示!
不胜感激!
回复 支持 反对

使用道具 举报

发表于 2012-3-8 16:34:08 | 显示全部楼层
对小秦的那个IE下的开发调试工具比较感兴趣,能告知是什么软件哪个版本不
回复 支持 反对

使用道具 举报

发表于 2012-3-13 20:30:16 | 显示全部楼层
这类教程非常适合我这种没有基础的学习
回复 支持 反对

使用道具 举报

发表于 2012-4-29 21:46:05 | 显示全部楼层
zd8987 发表于 2011-11-5 16:36
谢谢指教,小弟才疏学浅,仅仅是会复制粘贴代码进行功能的实现,对于抓包之类的功能我还尚未了解。
关 ...

个人觉得抓包者说的问题在第五课中已经说明了,如果在inc.asp中加入判断cookies或者那个s什么什么的就行了吧,所有的网页都能防止注入了

谢谢楼主,第四课第五课我看了有点迷糊,今天一下看五篇有点累了,改天再抽空看一遍,有问题pm您呀,还请多指教,这是我的网站http://ox-xu.com,纯粹外行人改出来的,嘿嘿,俺们也是有潜力的,这一次找到了这么浅显易懂的教程,太激动了,以后我也要做个砖家~~
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|Archiver|手机版|blueidea.com ( 湘ICP备12001430号 )  

GMT+8, 2020-9-23 15:41 , Processed in 0.109099 second(s), 11 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表