第 9 章 ASP 程序调试与 错误处理 无论计划多么精密、经验多么丰富，脚 本错误 (bug) 可能在最初就使 ASP 服务器端脚 本无法正确运行。也就是说调试，即查找和 纠正脚本错误，对开发一个成功的和强健的 ASP 程序是非常重要的。 无论计划多么精密、经验多么丰富，脚 本错误 (bug) 可能在最初就使 ASP 服务器端脚 本无法正确运行。也就是说调试，即查找和 纠正脚本错误，对开发一个成功的和强健的 ASP 程序是非常重要的。

第 9 章 ASP 程序调试与错误处理 9.1 ASP 中的主要错误类型 9.2 防止错误的方法和良好的编程习惯 9.3 ASP 程序错误处理方法 9.4 常见的 ASP 漏洞及解决方法 9.5 ASP 安全建议

9.1 ASP 中的主要错误类型 ASP 中出现的主要错误类型有： 1. 脚本错误 调试服务器端脚本时，可能会碰到各种类型的错误。 2. 语法错误 语法错误是经常碰到的错误，它是由不正确的脚本语法导致 的。 3. 运行时错误 运行时错误是脚本在执行过程中脚本指令试图执行不可能的 动作而导致的。 4. 逻辑错误 逻辑错误通常可能是潜在和难以检测的。

9.2 防止错误的方法和良 好的编程习惯 1. 代码的格式化和缩进编排 许多 VBScript 编程员懒于格式化编排其书写的程序。尽管这并不阻碍程序运 行，但这使得查找何处产生了错误变得困难。 2. 显式表明变量 VBScript 支持 Option Explicit 语句。在一个脚本页面的开头插入 Option Explicit 语句时，可以避免使用没有用 Dim 命令 ( 或用于动态数组的 ReDim ) 定义的 变量。 3. 变量转换为合适的数据类型 在 VBScript 中，有一系列类似这样的数据类型变换函数，如果不能完成变换， 也就是说变量内容对新数据类型来说是无效的，便会出现一个运行期错误。 4. 变量命名和编码约定 5. 封装脚本语言以便代码重用 刚刚看到了如何注释子程序和函数以便易于重新使用。面向对象编程的原理是 建立在程序代码重用的基础上的，并且 SSI 的 # include 和新的 Server.Execute 方 法使调用存储在程序库中的函数更容易。 6. 注意潜在的错误情况 编程时不管如何仔细，比如在使用和对变量类型转换之前对变量值进行测试， 但总还是有一些情况不能避免错误的出现。 7. 最后的测试

9.3 ASP 程序错误处理方法 即使采用了防御性编程技术之后， 错误仍能进入到网页，这可能是因为测 试并不充分，或者是因为所依靠的一些 其他资源或服务没有正确工作。为了防 止页面出现问题，在程序中要能够进行 定制错误处理。

9.3.1 错误处理 1 ． ASP 缺省错误处理器 2.VBScript 错误处理 （ 1 ）使用 on Error Resume Next 语句 （ 2 ）使用 On Error Goto 0 （ 3 ） VBScript Err 对象 3. 使用 IIS 错误页面

9.3.2 程序调试 — 发现及处理错误 1. 常规调试技术 （ 1 ）显示各种集合内容 （ 2 ）显示中间值 （ 3 ）检查组件属性值 2. Microsoft 脚本调试工具 （ 1 ）启用调试 （ 2 ） VBScript Stop 语句调试器 3. 获得 ASP 的帮助和支持 下面将讨论一些更传统的有助于跟踪出现在网页中的错误的技术。

9.4 常见的 ASP 漏洞及解 决方法 ASP 是开发网站应用的快速工具，但是有 些网站管理员只看到 ASP 的快速开发能力，却 忽视了 ASP 安全问题。 ASP 从一开始就一直受 到众多漏洞，后门的困扰，包括 %81 的噩梦， 密码验证问题， IIS 漏洞等等都一直使 ASP 网 站开发人员心惊胆跳。 本节试图从开放了 ASP 服务的操作系统漏 洞和 ASP 程序本身漏洞，阐述 ASP 安全问题， 并给出解决方法或者建议。

9.4.1 ASP 的安全优点 建议大家在设置 WEB 站点时，将 HTML 文件同 ASP 文件分开放置在不同 的目录下，然后将 HTML 子目录设置为 “ 读 ” ，将 ASP 子目录设置为 “ 执行 ” ，这不 仅方便了对 WEB 的管理，而且最重要的 提高了 ASP 程序的安全性，防止了程序 内容被客户所访问。

9.4.2 ASP 漏洞分析和解 决方法 1. 在 ASP 程序后加个特殊符号，能看到 ASP 源程序 2. ACCESS mdb 数据库有可能被下载的漏洞 3. code.asp 文件会泄漏 ASP 代码 4. filesystemobject 组件篡改下载 fat 分区上的任何文件的漏洞 5. 输入标准的 HTML 语句或者 javascript 语句会改变输出结果 6. ASP 程序密码验证漏洞 7. IIS4 或者 IIS5 中安装有 INDEX SERVER 服务会漏洞 ASP 源程序 8. 漏洞名称： IIS4.0 受 HTTP 的 D.O.S 攻击漏洞 9. 漏洞名称： IIS5.0 超长 URL 拒绝服务漏洞 10. 请求不存在的扩展名为 idq 或 ida 文件，会暴露服务器上得物理地址 11. 绕过验证直接进入 ASP 页面 12. IIS4.0/5.0 特殊数据格式的 URL 请求远程 DOS 攻击 13. MS ODBC 数据库连接溢出导致 NT/9x 拒绝服务攻击 14. ASP 主页.inc 文件泄露问题

9.5 ASP 安全建议 1. 安装 NT 最新的补丁 2. 关闭没有用的服务和协议 3. 设置好你的 NT 4. 磁盘文件格式使用比较安全的 NTFS 格式 5. 对目录设置不同的属性，如： Read 、 Excute 、 Script 6. 维护 Global.asa 的安全 7. 不要把密码，物理路径直接写在程序中 8. 在程序中记录用户的详细信息 9. Cookie 安全性 10. 使用身份验证机制保护被限制的 ASP 内容 11. 保护元数据库 12. 使用 SSL 维护应用程序的安全 13. 客户资格认证 14. ASP 的加密 15. SQL SERVER 的安全性 16. 使用最新的扫描器扫描 ASP 漏洞

本章小结 本章主要介绍了 ASP 程序调试与错误处理包括 ASP 中的主要 错误类型、防止错误的方法和良好的编程习惯、 ASP 程序错误 处理方法、常见的 ASP 漏洞及解决方法、 ASP 安全建议。 ASP 中出现的主要错误类型有： 1. 脚本错误 2. 语法错误 3. 运行时错误 4. 逻辑错误 防止错误的方法和良好的编程习惯 1. 代码的格式化和缩进编排 2. 显式表明变量 3. 变量转换为合适的数据类型 4. 变量命名和 编码约定 5. 封装脚本语言以便代码重用 6. 注意潜在的错误情 况 7. 最后的测试 ASP 程序错误处理方法 1 ． ASP 缺省错误处理器 2. VBScript 错 误处理 3. 使用 IIS 错误页面 常见的 ASP 漏洞及解决方法 ASP 安全建议