文章编号：167550 / 分类：行业资讯 / 更新时间：2025-02-23 04:32:10 / 浏览：次
JavaScript函数与数据库交互：SQL语句执行的关键步骤及解决javascript:void(o)问题

一、引言

在Web开发中，JavaScript作为前端开发的必备技能，经常需要与后端数据库进行交互。
为了实现这一交互，我们需要借助SQL语句来进行数据的增删改查。
本文将详细介绍JavaScript函数与数据库交互过程中SQL语句执行的关键步骤，并针对“javascript:void(o)”问题提供解决方案。

二、JavaScript与数据库交互概述

在Web应用中，JavaScript可以通过Ajax技术与服务器进行通信，从而实现与数据库的交互。
常见的做法是使用JavaScript发送HTTP请求，服务器接收请求后，通过SQL语句操作数据库，再将结果返回给前端。

三、SQL语句执行的关键步骤

1. 建立数据库连接：需要在JavaScript中建立与数据库的连接。这通常通过创建数据库连接对象实现，需要提供数据库的地址、用户名、密码等信息。
2. 发送SQL查询：建立连接后，通过JavaScript发送SQL查询语句到数据库。这些查询可以是SELECT、INSERT、UPDATE或DELETE等。
3. 执行SQL语句：数据库接收到查询请求后，会解析SQL语句并执行相应的操作。
4. 获取结果：执行完毕后，数据库会将结果返回给JavaScript。JavaScript再对返回的数据进行处理，如显示在页面上。

四、解决“javascript:void(o)”问题

“javascript:void(o)”问题通常出现在HTML链接中，用于阻止链接的默认行为。
但在现代Web开发中，这种做法已经过时，可能导致一些兼容性问题。
下面提供两种解决方案：

1. 使用event.preventDefault()：在JavaScript事件处理函数中，可以使用event.preventDefault()来阻止链接的默认行为。
这样既可以实现预期的功能，又可以避免兼容性问题。

示例代码：

Click me<=>

Click me<=>
```
2. 使用合适的URL和HTTP方法：如果链接需要执行某些操作而不是导航到另一个页面，可以考虑使用合适的URL和HTTP方法（如POST或GET），而不是使用“javascript:void(o)”。这样可以更清晰地表达意图，并减少潜在的问题。

Click me<=> 五、最佳实践

Click me<=> 1. 使用Promise或Async/Await：为了提高代码的可读性和可维护性，建议使用Promise或Async/Await来处理异步操作，如数据库请求。
这样可以更好地管理异步流程，避免回调地狱等问题。

2. 验证和错误处理：在与数据库交互时，务必进行输入验证和错误处理。
这有助于防止SQL注入攻击和其他安全问题，同时提供友好的用户体验。

3. 优化性能：考虑到数据库操作的性能影响，应尽量优化查询，减少不必要的数据库访问，使用缓存等技术提高性能。

Click me<=> 六、总结

Click me<=> 本文介绍了JavaScript函数与数据库交互过程中SQL语句执行的关键步骤，并针对“javascript:void(o)”问题提供了解决方案。
为了实现高效的Web应用，开发者应关注最佳实践，确保代码的安全性、可读性和性能。
通过掌握这些技术要点，可以更好地实现前端与数据库的交互，提升Web应用的用户体验。

---

session过期怎么恢复

如果用户未操作的「长时间」超过了服务器配置的session超时时间，并导致session失效，那么我们延长session的超时时间，让用户原来的「长时间」与超时时间相比，变得不「长」，就可以解决。 如果用户是长时间「未操作」导致session失效，那么我们想办法产生「操作」，让用户每隔一小段时间就「操作」一次，与服务器产生交互，那么session自然也不会失效。 一般情况下下，我们首先想到的是，通过改变服务器的配置，延长服务器的session超时时间。 例如，在Tomcat服务器的文件中有如下节点内容:30这里的30表示session的超时时间，单位为分钟，如果用户登录后在30分钟内没有与服务器交互，那么当前用户的session将失效。 我们可以配置一个更大的数值(比如60)，就可以延长session的超时时间，如果将该值改为0或负数的话，则表示session永不失效。 不过在实际的工作应用中，一味地上调session的超时时间设置并不怎么常见，大多数需要实现该功能的网站都将解决问题的焦点集中在第二条思路上。 例如：一些在线网站均采用定时刷新页面的方法来防止session超时。

求一个能把EXCEL批量导入SQL数据库的ASP程序代码!!!

private void Button1_Click(object sender, e) { //选择文件 = Excel Files(*)|*; = true;if( () == ){ if ( () == 0) {(this,Please select a excel file first!);return; } else {ImportExcelToSqlServer(()); }} } //******************************************************** //提取数据 public void ImportExcelToSqlServer(string fileName){ if (fileName == null) {throw new ArgumentNullException(filename string is null!); } if ( == 0) {throw new ArgumentException(filename string is empty!); } string oleDBConnString = ; oleDBConnString = Provider=.4.0;; oleDBConnString += Data Source=; oleDBConnString += fileName; oleDBConnString += ;Extended Properties=Excel 8.0;;OleDbConnection oleDBConn = null; OleDbDataADApter oleAdMaster = null;+m_tableName+];oleAdMaster=new OleDbDataAdapter(sqlMaster,oleDBConn);(ds,m_tableName);MailRebateManager manger=new MailRebateManager();bool isSucess=([m_tableName],);if(isSucess){ (Manipulate Succs!);}else{ (Manipulate Failed);} } catch(Exception ex) {();(ex);try{}catch (OleDbException e){ (e); (An exception of type + () ); } }} //***************************************** //将数据进行处理分别插入主表和从表public bool AddExceLGmailRebate(DataTable tb,string homeCompanyID){ bool ret=false; SqlConnection con=null;){ m_PromoCode=([i-1][0]);}if(m_>50 ){ m_PromoCode=m_(0,50);}string m_ItemDescription=([i][1]);if(m_(()>0){ int num=m_((); m_ItemDescription=m_(0,num); if(m_>50) {m_ItemDescription=m_(0,50); } }if(m_>50){ m_ItemDescription=m_(0,50);}string begin=([i][2]);string m_BeginPromoPeriodDate;string m_EndPromoPeriodEndDate;if(begin==){ continue;}else{ string beginTime=(0,8); beginTime=(/,-); m_BeginPromoPeriodDate=beginTime; string endTime=(-8); endTime=(/,-); m_EndPromoPeriodEndDate=endTime;}string m_RebateAmountStr=([i][3]);if(m_ >9){ m_RebateAmountStr=m_(0,9);}decimal m_RebateAmount;if(m_RebateAmountStr==){ m_RebateAmount=0;}else{ m_RebateAmount= (m_RebateAmountStr);}string m_TotalSoldStr=([i][7]);if(m_ >4){ m_TotalSoldStr=m_(0,4);}int m_TotalSold;if(m_TotalSoldStr==){ m_TotalSold=0;}else{ m_TotalSold=32(m_TotalSoldStr);}string m_RebateReserveStr=([i][8]);if(m_>9){ m_RebateReserveStr=m_(0,9);}decimal m_RebateReserve;if(m_RebateReserveStr==){ m_RebateReserve=0;}else{ m_RebateReserve=(m_RebateReserveStr);}string m_RedeemedStr=([i][17]);if(m_ >8){ m_RedeemedStr=m_(0,8);}decimal m_Redeemed;if(m_RedeemedStr==){ m_Redeemed=0;}else{ m_Redeemed=(m_RedeemedStr);}string m_PromoItem=([i][23]);if(m_ >50){ m_PromoItem=m_(0,50);}DateTime m_InDate;m_InDate=; string m_sqlMaster=INSERT INTO _GMailRebate(PromoCode,PromoItem,RebateAmount,ItemDescription,BeginPromoPeriodDate,EndPromoPeriodEndDate,PostMaskDate,TotalSold,RebateReserve,Redeemed,InDate)VALUES(+m_PromoCode+,+m_PromoItem+,+m_RebateAmount+, +m_ItemDescription+,+m_BeginPromoPeriodDate+,+m_EndPromoPeriodEndDate+, +m_InDate+,+m_TotalSold+,+m_RebateReserve+,+m_Redeemed+,+m_InDate+); comm=new SqlCommand(m_sqlMaster,con); =tran; ();(); }for(int i=1;i<;i++) {string m_PromoCode=([i][0]);if(m_PromoCode==){ continue;} int m_PromoCodeTransactionID=GetMasterTransactionID(m_PromoCode,homeCompanyID);string m_InvoiceNumber=([i][4]);if(m_ >30){ m_InvoiceNumber=m_(0,30);}if(m_InvoiceNumber==){ m_InvoiceNumber=0;}string m_InvoiceDate=([i][6]);if(m_InvoiceDate==){ DateTime m_InDate; m_InDate=; m_InvoiceDate=(m_InDate);}string m_serialNumberStr=([i][5]);if(m_ >4){ m_serialNumberStr=m_(0,4);}if(m_serialNumberStr==){ m_serialNumberStr=0;}int m_serialNumber=32(m_serialNumberStr); string m_TotalValidStr=( [i][9]);if(m_ >4){ m_TotalValidStr=m_(0,4); }if(m_TotalValidStr==){ m_TotalValidStr=0;}int m_TotalValid=32 (m_TotalValidStr);string m_TotalInValidStr=( [i][10]);if(m_ >4){ m_TotalInValidStr=m_(0,4);}if(m_TotalInValidStr==){ m_TotalInValidStr=0;}int m_TotalInValid=32(m_TotalInValidStr);string m_ProcessFeeStr=([i][13]);if(m_ >9){ m_ProcessFeeStr=m_(0,9);}if(m_ProcessFeeStr==){ m_ProcessFeeStr=0;}decimal m_ProcessFee=(m_ProcessFeeStr);string m_sqlDetails=INSERT INTO _GMailExcelMaster(PromoCodeTransactionID,InvoiceNumber,InvoiceDate,SerialNumber,TotalValid,TotalInvalid,ProcessFee)VALUES(+m_PromoCodeTransactionID+,+m_InvoiceNumber+,+m_InvoiceDate+, +m_serialNumber+,+m_TotalValid+,+m_TotalInValid+,+m_ProcessFee+);com=new SqlCommand(m_sqlDetails,con);=60; =tran;(); ();m++; } (); ret=true;} } catch(Exception ex) {try{ ();}catch (SqlException e){ if ( != null) {(An exception of type + () );}}(Error come up row number:+());(Error details:+);(ex);ret=false; } finally {(); (); } return ret; } ============================================这是将excel批量导入数据库的类文件,你可以自己在asp中使用了

找人修复ASP网站XSS漏洞

Web开发常见的几个漏洞解决方法 平时工作，多数是开发Web项目，由于一般是开发内部使用的业务系统，所以对于安全性一般不是看的很重，基本上由于是内网系统，一般也很少会受到攻击，但有时候一些系统平台，需要外网也要使用，这种情况下，各方面的安全性就要求比较高了，所以往往会交付给一些专门做安全测试的第三方机构进行测试，然后根据反馈的漏洞进行修复，如果你平常对于一些安全漏洞不够了解，那么反馈的结果往往是很残酷的，迫使你必须在很多细节上进行修复完善。 本文主要根据本人项目的一些第三方安全测试结果，以及本人针对这些漏洞问题的修复方案，介绍在这方面的一些经验，希望对大家有帮助。 基本上，参加的安全测试（渗透测试）的网站，可能或多或少存在下面几个漏洞：SQL注入漏洞、跨站脚本攻击漏洞、登陆后台管理页面、IIS短文件/文件夹漏洞、系统敏感信息泄露。 1、测试的步骤及内容这些安全性测试，据了解一般是先收集数据，然后进行相关的渗透测试工作，获取到网站或者系统的一些敏感数据，从而可能达到控制或者破坏系统的目的。 第一步是信息收集，收集如IP地址、DNS记录、软件版本信息、IP段等信息。 可以采用方法有：1）基本网络信息获取；2）Ping目标网络得到IP地址和TTL等信息；3）Tcptraceroute和Traceroute 的结果；4）Whois结果；5）Netcraft获取目标可能存在的域名、Web及服务器信息；6）Curl获取目标Web基本信息；7）Nmap对网站进行端口扫描并判断操作系统类型；8）Google、Yahoo、Baidu等搜索引擎获取目标信息；9）FWtester 、Hping3 等工具进行防火墙规则探测；10）其他。 第二步是进行渗透测试，根据前面获取到的数据，进一步获取网站敏感数据。 此阶段如果成功的话，可能获得普通权限。 采用方法会有有下面几种1）常规漏洞扫描和采用商用软件进行检查；2）结合使用ISS与Nessus等商用或免费的扫描工具进行漏洞扫描；3）采用SolarWinds对网络设备等进行搜索发现；4）采用Nikto、Webinspect等软件对Web常见漏洞进行扫描；5）采用如AppDetectiv之类的商用软件对数据库进行扫描分析；6）对Web和数据库应用进行分析；7）采用WebProxy、SPIKEProxy、Webscarab、ParosProxy、Absinthe等工具进行分析；8）用Ethereal抓包协助分析；9）用Webscan、Fuzzer进行SQL注入和XSS漏洞初步分析；10）手工检测SQL注入和XSS漏洞；11）采用类似OScanner的工具对数据库进行分析；12）基于通用设备、数据库、操作系统和应用的攻击；采用各种公开及私有的缓冲区溢出程序代码，也采用诸如MetasploitFramework 之类的利用程序集合。 13）基于应用的攻击。 基于Web、数据库或特定的B/S或C/S结构的网络应用程序存在的弱点进行攻击。 14）口令猜解技术。 进行口令猜解可以采用 X-Scan、Brutus、Hydra、溯雪等工具。 第三步就是尝试由普通权限提升为管理员权限，获得对系统的完全控制权。 在时间许可的情况下，必要时从第一阶段重新进行。 采用方法1）口令嗅探与键盘记录。 嗅探、键盘记录、木马等软件，功能简单，但要求不被防病毒软件发觉，因此通常需要自行开发或修改。 2）口令破解。 有许多著名的口令破解软件，如 L0phtCRack、John the Ripper、Cain 等以上一些是他们测试的步骤，不过我们不一定要关注这些过程性的东西，我们可能对他们反馈的结果更关注，因为可能会爆发很多安全漏洞等着我们去修复的。 2、SQL注入漏洞的出现和修复 1）SQL注入定义：SQL注入攻击是黑客对数据库进行攻击的常用手段之一。 随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。 但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。 用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。 SQL注入有时候，在地址参数输入，或者控件输入都有可能进行。 如在链接后加入’号，页面报错，并暴露出网站的物理路径在很多时候，很常见，当然如果关闭了的CustomErrors的时候，可能就不会看到。 另外，Sql注入是很常见的一个攻击，因此，如果对页面参数的转换或者没有经过处理，直接把数据丢给Sql语句去执行，那么可能就会暴露敏感的信息给对方了。 如下面两个页面可能就会被添加注入攻击。 ①and (select top 1 name from TestD ... type=U and status>0)>0 得到第一个用户建立表的名称，并与整数进行比较，显然工作异常，但在异常中却可以发现表的名称。 假设发现的表名是xyz，则②and (select top 1 name from & ... tatus>0 and name not in(xyz))>0 可以得到第二个用户建立的表的名称，同理就可得到所有用建立的表的名称。 为了屏蔽危险Sql语句的执行，可能需要对进行严格的转换，例如如果是整形的，就严格把它转换为整数，然后在操作，这样可以避免一些潜在的危险，另外对构造的sql语句必须进行Sql注入语句的过滤，如我的框架（Winform开发框架、Web开发框架等）里面就内置了对这些有害的语句和符号进行清除工作，由于是在基类进行了过滤，因此基本上子类都不用关心也可以避免了这些常规的攻击了。 ///

/// 验证是否存在注入代码(条件语句）///

/// public bool HasInjectionData(string inputData){if ((inputData))return false;//里面定义恶意字符集合//验证inputData是否包含恶意集合if (((), GetregexString())){return true;}else{return false;}}///

/// 获取正则表达式///

/// private static string GetRegexString(){//构造SQL的注入关键字符string[] strBadChar ={//select\\s,//from\\s,insert\\s,delete\\s,update\\s,drop\\s,truncate\\s,exec\\s,count\\(,declare\\s,asc\\(,mid\\(,char\\(,net user,xp_cmdshell,/add\\s,exec _cmdshell,net localgroup administrators};//构造正则表达式string str_Regex = .*(;for (int i = 0; i < - 1; i++){str_Regex += strBadChar[i] + |;}str_Regex += strBadChar[ - 1] + ).*;return str_Regex;}上面的语句用于判别常规的Sql攻击字符，我在数据库操作的基类里面，只需要判别即可，如下面的一个根据条件语句查找数据库记录的函数。 ///

/// 根据条件查询数据库,并返回对象集合///

/// 查询的条件/// 自定义排序语句，如Order By Name Desc；如不指定，则使用默认排序/// 参数列表/// 指定对象的集合public virtual List Find(string condition, string orderBy, IDbDataParameter[] paramList){if (HasInjectionData(condition)){((检测出SQL注入的恶意数据, {0}, condition));throw new Exception(检测出SQL注入的恶意数据);}...........................}以上只是防止Sql攻击的一个方面，还有就是坚持使用参数化的方式进行赋值，这样很大程度上减少可能受到SQL注入攻击。 target=_blank>”>Click Here [不受信任的输入]HtmlAttributeEncode(String) 不受信任的HTML属性

---

JavaScriptEncode(String) 不受信任的输入在JavaScript中使用UrlEncode(String) 不受信任的URLvisualBasicScriptEncode(String) 不受信任的输入在VBScript中使用XmlEncode(String) 不受信任的输入用于XML输出[Untrusted input]XmlAttributeEncode(String) 不 受信任的输入用作XML属性Some Textprotected void Page_Load(object sender, EventArgs e){ = ();}例如上面的内容，赋值给一个Lable控件，不会出现弹框的操作。 但是，我们虽然显示的时候设置了转义，输入如果要限制它们怎么办呢，也是使用AntiXSSLibrary里面的HtmlSanitizationLibrary类库即可。 protected void btnPost_Click(object sender, EventArgs e){ = ();}这样对于特殊脚本的内容，会自动剔除过滤，而不会记录了，从而达到我们想要的目的。 4、IIS短文件/文件夹漏洞出现和修复 通过猜解，可能会得出一些重要的网页文件地址，如可能在/Pages/Security/下存在和文件。 [建议措施]1）禁止url中使用“~”或它的Unicode编码。 2）关闭windows的8.3格式功能。 修复可以参考下面的做法，或者找相关运维部门进行处理即可。 、系统敏感信息泄露出现和修复如果页面继承一般的page，而没有进行Session判断，那么可能会被攻击者获取到页面地址，进而获取到例如用户名等重要数据的。 一般避免这种方式是对于一些需要登录才能访问到的页面，一定要进行Session判断，可能很容易给漏掉了。 如我在Web框架里面，就是继承一个BasePage，BasePage 统一对页面进行一个登录判断。 public partial class UserList : BasePage{protected void Page_Load(object sender, EventArgs e){............... ///

/// BasePage 集成自权限基础抽象类FPage，其他页面则集成自BasePage///

public class BasePage : FPage{///

/// 默认构造函数///

public BasePage(){ = true;//默认页面启动权限认证}///

/// 检查用户是否登录///

private void CheckLogin(){if (()){string url = ({0}/Pages/CommonPage/?userRequest={1},(/), (()));(url);}}///

/// 覆盖HasFunction方法以使权限类判断是否具有某功能点的权限///

/// /// protected override bool HasFunction(string functionId){CheckLogin();bool breturn = false;try{breturn = (functionId);}catch (Exception){(this, BasePage调用权限系统的HasFunction函数出错);}return breturn;}protected override void OnInit(EventArgs e){(); //清除缓存(e);CheckLogin();}否则可能会受到攻击，并通过抓包软件发现页面数据，获得一些重要的用户名或者相关信息。 还有一个值得注意的地方，就是一般这种不是很安全的网络，最好要求输入比较复杂一点的密码（强制要求），例如不能全部是数字密码或者不能是纯字符，对位数也要求多一点，因为很多人输入,，123这样的密码，很容易被猜出来并登录系统，造成不必要的损失。 6、总结性建议针对上面发现的问题，提出下面几条建议。 1）在服务器与网络的接口处配置防火墙，用于阻断外界用户对服务器的扫描和探测。 2）限制网站后台访问权限，如：禁止公网IP访问后台；禁止服务员使用弱口令。 3）对用户输入的数据进行全面安全检查或过滤，尤其注意检查是否包含SQL 或XSS特殊字符。 这些检查或过滤必须在服务器端完成。 4）关闭windows的8.3格式功能。 5）限制敏感页面或目录的访问权限。

相关标签： JavaScript函数与数据库交互、 SQL语句执行的关键步骤、 o、 javascript、 void、 怎么解决、

本文地址：http://www.hyyidc.com/article/167550.html

上一篇：深入了解JavaScript函数执行SQL语句的全过...
下一篇：使用JavaScript函数发送SQL查询到数据库的...