zoukankan      html  css  js  c++  java
  • ASP中FSO并非不安全,让我们发现它的神奇功能

    在ASP中,FSO的意思是File System Object,即文件系统对象。 我们将要操纵的计算机文件系统,在这里是指位于web服务器之上。所以,确认你对此拥有合适的权限。理想情况下,你可以在自己的机器上建立一个web服务 器,这样就能方便地进行测试。如果运行于Windows平台,请试一试微软公司的免费个人Web服务器PWS。 FSO 模型对象 Drive Object:驱动器对象 供存取磁盘或者网络驱动器 FileSystemObject Object:文件系统对象 供存取计算机的文件系统 Folder Object:文件夹对象 供存取文件夹的所有属性 TextStream Object:文本流对象 供存取文件内容 你可以使用上面的对象做计算机上的任何事情,也包括破坏活动 ;-( 所以,请小心使用FSO。在web环境中,存储信息是非常重要的,比如用户信息,日志文件,等等。FSO提供了一个强大且简单的方法高效率地保存数据。在 这篇文章里面,着重讨论FileSystemObject和TextStream对象。 FSO由微软公司提供支持,对于非Windows系统,大概不能再使用ASP。 怎么样使用FSO? 为了使用FSO来执行所有的工作,首先要创建对象,代码就象下面这样: < % Set fso = Server.CreateObject("Scripting.FileSystemObject") % > 这样就建立了FSO并且赋予变量fso,接着就可以使用熟悉的object.method语法来执行文件系统的操作〔查看Visual Basic文档,获取更多的关于对象和对象向导编程的知识〕。在这里,我们可以使用fso.method 或者 fso.property,这些将在下面的例子中看到。 FSO模型位于由微软提供的脚本运行时间DLL文件中,它是scrrun.dll。你可以在任何应用程序中引用这个DLL文件,比如MS Access,Word。 就是说,并非仅仅限制在ASP中应用它。 这里有一个简要的FSO方法列表: FSO方法 CopyFile 拷贝一个或者多个文件到新路径 CreateTextFile 创建文件并且返回一个TextStream对象 DeleteFile 删除一个文件 OpenTextFile 打开文件并且返回TextStream对象,以便读取或者追加 如果想了解完整的FSO方法与属性,请查阅微软MSDN。下面来看几个例子。 假设你想创建一个简单的留言簿,你可以建立一个数据库,在其中存储用户的信息。然而,如果并不需要数据库的强大功能,使用FSO来存储信息将节省你的时间和金钱。并且,一些ISP也许限制了web上的数据库应用。 假设你在一个表单中收集了一些用户信息,这里是一个简单表单HTML代码: < html> < body> < form action="formhandler.asp" method="post"> < input type="text" size="10" name="username"> < input type="text" size="10" name="homepage"> < input type="text" size="10" name="Email"> < /form> < /body> < /html> 再看看formhandler.asp中处理表单的代码: < % ’ Get form info strName = Request.Form("username") strHomePage = Request.Form("homepage") strEmail = Request.Form("Email") ’ create the fso object Set fso = Server.CreateObject("Scripting.FileSystemObject") 迄今为止,还没有新鲜的东西,无非是获取表单域的值并且赋值到变量。下面出现了有趣的部分 - 写文件: path = "c: emp est.txt" ForReading = 1, ForWriting = 2, ForAppending = 3 ’ open the file set file = fso.opentextfile(path, ForAppending, TRUE) ’ write the info to the file file.write(strName) & vbcrlf file.write(strHomePage) & vbcrlf file.write(strEmail) & vbcrlf ’ close and clean up file.close set file = nothing set fso = nothing 回想一下,OpenTextFile方法返回一个TextStream对象,它是FSO模型中的另外一个对象。TextStream对象揭示了操作文件内容的方法,比如写、读一行、跳过一行。VB常量vbcrlf产生一个换行符。 在OpentextFile的命令参数中定义了TRUE,这就告诉了系统,如果文件不存在,就创建它。如果文件不存在,并且没有定义TRUE参数,就会出错。 现在转到目录c: emp,打开test.txt,你可以看到如下的信息: User’s name User’s home page User’s email 当然,这些单词可以被输入在表单中的任何内容所替换。 现在已经有了一些用户信息保存在文件中,就像一个简单的数据库。假设有一个用户想了解所有的访问者,就要从登 记的信息中分离出相关部分,因为没有象数据库一样拥有结构化的列。 我们知道,在所创建的文件中,第1行是用户名,第2行是他们的主页,第3行是他们的电子邮件地址。随后登记的用 户也是按照这样的结构存储他们的信息,所以每3行将包含一个用户的登记信息。知道了这些,就可以编写下面的代码来显 示信息: < % ’ create the fso object set fso = Server.Createobject("Scripting.FileSystemObject") path = "c: emp est.txt" ’ open the file set file = fso.opentextfile(path, 1) < -- For reading 接着,分析每一行,并且格式化数据: do until file.AtEndOfStream Response.write("Name: " & file.ReadLine & " ") Response.write("Home Page: " & file.ReadLine & " ") Response.write("Email: " & file.ReadLine & "< p>") loop ’ close and clean up file.close set file = nothing set fso = nothing %> 这里仅仅做了一个非常简单的输出,但是你可以根据情况包含表格或者DHTML表单信息。 如果已经正确地建立并写入了文件,上面的小小循环将合适地列出数据库中的每一个人的信息。ReadLine方法读取1 行内容,直到遇到换行符,随后的ReadLine调用将读取下一行。AtEndOfStream是TextStream对象的属性,它告诉我们何时 遇到文件的尾部。 假设由于某种原因,我们没有正确地形成文件,如果一个用户只有2行信息而不是3行,那么就会产生一些错误。我们 这里的循环取回文件中的下3行信息,如果没有3行多的信息,就将出现如下的错误信息: Server object error ’ASP 0177 : 800a003e’ 所以,一定要添加一些错误处理代码,以防文件中插入了多余的行或者少了必要的行信息。 上面讨论了基本知识,然后说说权限许可的问题。FSO以创建它的用户帐户权限运行,换言之,如果有人从Internet 上访问你的页面,那么这个internet帐户就创建FSO。如果以administrator的身份登录计算机,并且登录页面,那么 administrator帐户就创建了FSO。这是非常重要的,因为一定的帐户拥有一定的权限,并且FSO需要一些权限从而能完整的 执行功能。 internet帐户(IUSER_MachineName,MachineName是服务器的名字)一般只拥有读权限,这意味着用户将不能写入留 言簿文件。然而,有几个选择可以绕过这个问题。 首先,也是很困难的,是要求用户在填写留言簿前登录到服务器。然而,留言簿的要点是从匿名用户处收集信息,如 果要求用户登录,就必须要知道他们是谁。因此,跳过这个选择,看下一个。 第2个方法是创建一个目录或者文件,IUSER_MachineName用户对此有写权限。这样做可能开放了一些潜在的安全漏 洞,因为任何知道正确目录并具备一定web技巧的人就能在服务器上填充内容。这是一个很严重的禁忌。所以你必须确认在 隐藏的场所保存了这些可写目录的信息,并且尽可能地将这些目录设置在web目录结构以外(比如在Windows下,这是一个 不在inetpub目录下的一个目录)。 你也许想:好,现在我知道如何写入文件了。但能做到更多一些吗?下面来试一试为web站点建立一个搜索功能。 建立搜索引擎的关键是递归。主要地,编写一段代码搜索目录下的文件,然后对所有的目录循环执行同样的代码。因 为不能确定总共有多少个子目录,所以必须一遍又一遍地执行搜索代码,直到结束。递归调用非常好! 下面来创建搜索页面。假设已经建立了一个HTML表单,用户在其中输入一个搜索字符串。 Dim objFolder Dim strSearchText Dim objFSO strSearchText = Request.Form("SearchText") < -- The search string ’ create the FSO and Folder objects Set fso = Server.CreateObject("Scripting.FileSystemObject") Set objFolder = objFSO.GetFolder(Server.MapPath("/")) Search objFolder 上面的代码简单地初始化变量,Search函数执行搜索功能,描述如下:   Function Search(objFolder) Dim objSubFolder   ’loop through every file in the current folder For Each objFile in objFolder.Files Set objTextStream = objFSO.OpenTextFile(objFile.Path,1) < -- For Reading   ’read the file’s contents into a variable strFileContents = objTextStream.ReadAll   ’if the search string is in the file, then write a link ’ to the file If InStr(1, strFileContents, strSearchText, 1) then Response.Write "< A HREF=""/" & objFile.Name & _ """>" & objFile.Name & "< /A>< BR>"   bolFileFound = True End If   objTextStream.Close   Next   ’Here’s the recursion part - for each ’ subfolder in this directory, run the Search function again For Each objSubFolder in objFolder.SubFolders Search objSubFolder Next End Function 为了能打开文件,FSO需要实际的文件路径,而不是web路径。比如,是c:inetpubwwwroot empindex.html, 而不是 www.enfused.com/temp/index.html 或者 /temp/index.html。 为了将后者转换为前者,使用Server.MapPath ("filename"), filename表示web路径名。 上面的代码将在你指定的初始目录下的文件夹的每一个子目录中执行,在这里,初始目录是指web根目录“/”。然后 就简单地打开目录下的每一个文件,看看其中是否包含指定的字符串,如果找到字符串就显示那个文件的链接。 注意,随着文件和子目录数量的增加,搜索花费的时间也将增加。如果需要繁重的搜索工作,建议你采取其他的方 法,比如微软公司的索引服务器Index Server。 到此,你对FSO可能已经有了很好的体会。让我们再深入研究一步,来解决更复杂的难题。 首先,你可能希望对文件改名。为了跟踪所有的文档,你将要重新命名它们以便唯一,这样就可以被系统容易地区 别。很不幸,FSO不允许简单的文件改名操作,所以我们不得不修改一下。 < % ’ create the fso object set fso = Server.Createobject("Scripting.FileSystemObject") path = "c: emp est.txt" strDate = Replace(Date(), "/", "") strDir = "c:inetpubwwwrootarticles" & strDate strNewFileName = Hour(Now) & "_" & Minute(Now) & "_" & second(Now) & ".html" ’ open the old file set file = fso.opentextfile(path, 1) < -- For reading strText = file.readall set file = nothing ’ check for and/or create folder if not fso.folderexists(Server.MapPath(strDir)) then set f = fso.CreateFolder(Server.MapPath(strDir)) else set f = fso.GetFolder(Server.MapPath(strDir)) end if ’ create and write new file set file = fso.Createtextfile(f.path & "" & strNewFileName) file.write(strText) set f = nothing file.close set file = nothing ’ delete the old file fso.DeleteFile(path & "" & rst("FileName") & i) ’ clean up set fso = nothing %> FSO能力的不足在这里却成了优势,我们可以一次执行2步。首先,打开文件并读入文件的内容。假设这里要创建一个 唯一的文件夹和一个唯一的文件来存储文章。然而,因为文件夹的路径每天都将改变,所以必须首先检查是否文件夹已经 存在,如果不存在,就创建它。这在if not fso.folderexists代码段完成。然后,取得那个路径,创建一个新的文件。新 文件建立完成后,删除掉旧文件,这通过fso.DeleteFile来完成。 这2步就是:对文件改名,然后移动到一个更合适的目录下。注意,在这里还可以对文件进行更多地操作,比如在写 入新文件前进行一下内容的编辑。 FSO确实存在一些弱点 - 比如,它很难处理二进制文件,这包括Word文档、许多图形格式的文件和其他一些文件。然而你仍然可以用其他的方式操作这些文件 - 移动它们、删除它们,等等。你不能做的就是对它们进行打开或者写操作。 另外一个限制是对于文件长度的问题。当立刻读写一些内容时,所有的信息都存储在内存中 - 内容越多,消耗的内存就越大。这将使每个工作都变得慢起来。所以,如果需要操作非常大的文件,或者大量的小文件时,考虑将文件分割成小块,并且经常的清除 内存。将应用程序融入进COM对象组件,也能大大地提高程序的速度。 同样,你也不能使用FSO来管理权限以及文件、文件夹的属性,执行安全加密的一个很好方法就是将前面提到的留言簿文件设置为只读,在需要时再设置为可写,然后再修改回来。这个方法经常在CGI和Perl使用,但是很不幸,还没有令人满意的方法来用FSO实现。 还能用FSO做什么? 在FSO中还有许多很棒的功能,但许多人没有意识到。这些功能常常是在你感到做某些事情很难后才发现的,这时你经常要感叹到:要是我早知道这个方法就好了! 下面列举一下这些不常用但是却非常酷的功能: 很少被了解的FSO功能 GetSpecialFolder Method 返回特定的Windows文件夹的路径: Windows安装目录;Windows系统目录;Windows临时目录 FSO.GetSpecialFolder([0, 1, or 2]) GetTempName Method 返回一个随机产生的文件或者目录名字,用于需要存储临时数据时 GetAbsolutePathName Method 返回文件夹的绝对路径(类似于Server.MapPath)。 比如,FSO.GetAbsolutePathName("region") 将返回类似于下面的结果:"c:mydocsmyfolder egion" GetExtensionName Method 返回路径中最后部分的扩展名 (比如:FSO.GetExtensionName("c:docs est.txt") 将返回txt) GetBaseName and GetParentFolder Methods 返回路径中最后部分的父文件夹 (比如:FSO.GetParentFolder ("c:docsmydocs") 将返回’docs’) Drives Property 返回所有本地可用驱动器的集合,用于建立资源浏览器样的用户接口。 使用上面的功能时,最好建立好出错处理的代码。因为如果需要的参数不存在,将会产生麻烦的信息。 总结 如我们所见,FSO非常有用,这里介绍的仅仅是冰山一角。你可以使用FSO建立功能强大的应用程序,简单地完成许多任务。
  • 相关阅读:
    日期获取以及时间转化
    ddt 接口框架数据处理调用excel 处理
    ddt 测试用例UI运用
    动态验证码处理UI自动化获取处理
    Bug Report For .Net (zz.IS2120@BG57IV3)
    中关村翠湖科技园:高端产业聚集区 (zz.IS2120@BG57IV3.T752270541 .K)
    vc6,windows 7 x64 调试 (IS2120@BG57IV3)
    Excel c#Excel文件的操作[转载]
    NUnit学习 标签、方法 记录与说明
    Excel c#Excel工作进程的创建写 与Excel文件的保存[原创] (20100205 11:09)
  • 原文地址:https://www.cnblogs.com/adodo1/p/4326907.html
Copyright © 2011-2022 走看看