一、通用源代码格式规则
1.1开发工具

推荐使用Microsoft?公司的VisualInterDev来书写ASP代码，使用Macromedia?公司的Dreamweaver来书写HTML代码，也可以使用UltraEdit、ASPEdit2000等开发工具。

1.2缩进空格

缩进空格是指在每一级有两到四个空格。不要在源代码中保留TAB字符，这是因为TAB字符会随着不同用户的不同设置和不同的资源管理工具（打印、文档、版本控制等）而代表不同的宽度。

1.3数据合法性检查

所有表单提交页面中，表单上必须填写项目和填写项目中非法输入的判断都在页面中用javascript在客户端判断，如果必须和服务器端数据比较才能判断输入项目是否正确不在此例。
所有提交的信息(GET方式及POST方式)都必须在服务器端重新进行数据合法性校验，并过滤非法字符（&;`'\"|*?~<>^()[]{}$\n\r），例如，将"'"替换成"''"(两个单引号)号（替换字符串的工作将统一使用公共的CheckInputString(str)函数）；而对于数字型变量，要检查输入的数据是否全为数字（javascript中使用isFinite或isNaN,VbScript中使用IsNumeric）。

1.4参数传递

建议使用POST方法，而不推荐使用GET方法；
严禁使用GET方法、SESSION或其它方式传递SQL语句；
禁止使用GET方式传递大量的查询字符串，特别是未经编码的汉字,HTTP协议传送表单域比查询字符串效率要高，而且带有一个大的查询字符串的页面在某些浏览器上会失效；
禁止使用SESSION、COOKIE传递非会话期间必要的参数。

1.5URL

包含头文件，页面的链接，提交的页面，用到的图片，如果引用的是如"include"、"image"等公共部分，必须使用绝对路径，即以虚根目录"/"开始的路径，以提高运行效率。例如：

6.4使用最简单的游标类型和记录锁定方式

在ADO中定义了四种不同的游标类型：
l动态游标(adOpenForwardOnly)-用于查看其他用户所作的添加、更改和删除，并用于不依赖书签的Recordset中各种类型的移动。如果提供者支持，可使用书签。
l键集游标(adOpenKeyset)-其行为类似动态游标，不同的只是禁止查看其他用户添加的记录，并禁止访问其他用户删除的记录，其他用户所作的数据更改将依然可见。它始终支持书签，因此允许Recordset中各种类型的移动。
l静态游标(adOpenDynamic)-提供记录集合的静态副本以查找数据或生成报告。它始终支持书签，因此允许Recordset中各种类型的移动。其他用户所作的添加、更改或删除将不可见。这是打开客户端(ADOR)Recordset对象时唯一允许使用的游标类型。
l仅向前游标(adOpenStatic)-除仅允许在记录中向前滚动之外，其行为类似动态游标。这样，当需要在Recordset中单程移动时就可提高性能。

在打开Recordset之前设置CursorType属性来选择游标类型，或使用Open方法传递CursorType参数。部分提供者不支持所有游标类型。请检查提供者的文档。如果没有指定游标类型，ADO将默认打开仅向前游标。

在ADO中定义了四种不同的游标类型：
ladLockReadOnly-默认值，只读。无法更改数据。
ladLockPessimistic-保守式记录锁定（逐条）。提供者执行必要的操作确保成功编辑记录，通常采用编辑时立即锁定数据源的记录的方式。
ladLockOptimistic-开放式记录锁定（逐条）。提供者使用开放式锁定，只在调用Update方法时锁定记录。
ladLockBatchOptimistic-开放式批更新。用于与立即更新模式相反的批更新模式。

打开Recordset前设置LockType属性可指定打开时提供者应该使用的锁定类型。读取该属性可返回在打开的Recordset对象上正在使用的锁定类型。Recordset关闭时LockType属性为读/写，打开时该属性为只读。

在实际使用过程中应该使用适合于处理任务的最简单的游标类型和记录锁定方式。例如：

仅打开一个静态的记录集并输出：
Rs.Opensql,Conn,0,1'adOpenForwardOnly,adLockReadOnly
打开的记录集中有text类型的字段：
Rs.Opensql,Conn,1,1'adOpenKeyset,adLockReadOnly

6.4SQL字符串过滤

所有的字符串输入框在向数据库提交查询、插入、删除或修改一条记录时必须用字符串过滤函数检查，即：
字符型：复写提交内容中的"'"、"''"等（使用公共函数的CheckInputString()。)，并检查字符串的长度是否超长。
数值型：使用IsNumeric()判断输入是否为数字。
整型：使用Int(),Fix(),Round()截取其整数值。
日期型：使用isDate()函数判断是否为正确的日期输入。

6.5SQL事务执行

对数据库操作的事务一般应当使用SQL的存储过程执行。对于需要在ASP页面中执行的数据库操作，所有插入、删除、修改数据库不得使用RecordSet对象，必须使用Connect对象用SQL语句执行，RecordSet只在执行查询时使用。所有检索数据库的操作禁止使用"SELECT*FROM…"，而要使用"SELECT字段一,字段二,字段三,…FROM…"。

6.6ADO对象的关闭

所有连接数据库页面中，Connect和Recordset等ADO对象必须在用完后立即关闭(Close)，然后将其对象释放（Set***=nothing）。

七、Cookies
7.1Cookies的作用域

Cookies的Path属性规定了Cookies返回服务器的具体路径。为了使Cookies能够在整个网站的各个目录都可以起作用，应将Domain域属性设为："/"，
Cookies的Domain域属性限制了cookies可由浏览器送达之处。为了使cookies能够在整个网站的各子站点都可以起作用，应将Domain域属性设为：".yourDomain.com"。该值将作为常量cookie_Domain放入站点的公共文件中。即：

Response.Cookies("UserName").Path="/"
Response.Cookies("UserName").Domain=cookie_Domain

7.2Cookies的有效期

Cookies的Expires属性规定了Cookies的结束作用时间。如果要建立一个会话期间的cookies，即要在客户结束浏览后失效，则一定不能设置该属性。

7.3Cookies的安全

Cookies内部的敏感信息必须加密，该加密方式在公共密钥函数库中定义。

1.5URL
包含头文件，页面的链接，提交的页面，用到的图片，如果引用的是如“include”、“image”等公共部分，必须使用绝对路径，即以虚根目录“/”开始的路径，以提高运行效率。例如：
<AHREF="/index.asp">
<IMGSRC="/images/logo.gif”>

在一个相对独立的模块内部，可以使用相对路径，以提高可移植性。但是，禁止使用“..”返回上一级目录，即禁止使用类似“../images/logo.gif”的URL。相对路径如下书写：