【正文】 得iBATIS能夠更好地分離數(shù)據(jù)庫和對象模型的設(shè)計，這樣就相對減少了兩者間的耦合。 iBATIS不對您的數(shù)據(jù)庫或?qū)ο竽Ｐ妥魅魏渭僭O(shè)。不管這兩種設(shè)計間是如何得不匹配，iBATIS總會有效。此外，iBATIS不對您的企業(yè)系統(tǒng)的架構(gòu)作任何假設(shè)。不論您的數(shù)據(jù)庫是按業(yè)務(wù)功能縱向劃分，還是從技術(shù)上橫向劃分，iBATIS都能夠?qū)⑺c您的OO應(yīng)用程序有效地整合起來。iBATIS可以有效地處理很大規(guī)模的數(shù)據(jù)。iBATIS支持像Row Handler這樣的特性，可以對大量記錄進行批處理。它還支持獲取某個范圍內(nèi)的數(shù)據(jù)，針對不同數(shù)據(jù)庫實現(xiàn)其高效分頁機制，這樣我們可以僅僅獲取當(dāng)前必須的數(shù)據(jù)。iBATIS允許將對象以多種方式映射至數(shù)據(jù)庫。企業(yè)應(yīng)用系統(tǒng)的功能以單一模式實現(xiàn)的情況是很少的。很多企業(yè)級系統(tǒng)需要在白天進行事務(wù)處理，而在夜間進行數(shù)據(jù)批處理操作。iBATIS允許以多種方式映射，保證了每種業(yè)務(wù)處理都能以盡可能高效的方式進行。iBATIS還支持多種訪問策略。您可以選擇都某些數(shù)據(jù)進行延遲加載，通過SQL來加載那些復(fù)雜屬性，避免帶來嚴(yán)重的性能問題。（5）三層結(jié)構(gòu)表示層: 主要對用戶的請求接受，以及數(shù)據(jù)的返回，為客戶端提供應(yīng)用程序的訪問。表示層需要處理一定的展示邏輯，輸入數(shù)據(jù)校驗等額外工作。業(yè)務(wù)邏輯層: 系統(tǒng)架構(gòu)圖中的Domain實體層、Service服務(wù)層都隸屬業(yè)務(wù)邏輯范疇，其中Service服務(wù)層中完成業(yè)務(wù)邏輯，并操控數(shù)據(jù)訪問層Dao獲取、保存業(yè)務(wù)數(shù)據(jù)。數(shù)據(jù)訪問層: 主要是對原始數(shù)據(jù)（數(shù)據(jù)庫或者文本文件等存放數(shù)據(jù)的形式）的操作，為業(yè)務(wù)邏輯層提供數(shù)據(jù)服務(wù)。（6） Framework中所提供的，開發(fā)Web應(yīng)用程序的類庫，，、擴充以及HTTP通道的應(yīng)用程序與通信處理等工作，以及Web Service的基礎(chǔ)架構(gòu)。，但它的發(fā)展性要比ASP技術(shù)要強大許多。 Framework的IIS服務(wù)器上，若要在非微軟的平臺上運行，則需要使用Mono平臺， Framework ， AJAX、 MVC Framework、 Dynamic Data與Microsoft Silverlight的服務(wù)器控件等。很多人都把 當(dāng)做是一種編程語言，但它實際上只是一個由 .NET Framework 提供的一種開發(fā)平臺 (development platform)，并非編程語言。（7）基于用戶的Forms認(rèn)證，首先讀取Cookie取得認(rèn)證信息(其內(nèi)容信息已被加密，加密算法AES) 判斷用戶是否已驗證，若已認(rèn)證，允許瀏覽頁；若未認(rèn)證，跳到登錄頁面()。進行登錄驗證用戶，若正確，用戶授權(quán)寫入Cookie，跳轉(zhuǎn)到瀏覽頁。對于登錄頁面()的訪問，可以配置成要求HTTPS方式。HTTPS是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容通過基于安全套接字層（Secure Sockets Layer ，SSL）對HTTP進行分層來使用傳輸層的安全性。在HTTPS下提交用戶名/密碼等信息都是128位加密的。教學(xué)儀器設(shè)備管理系統(tǒng)(SIIM) Form認(rèn)證的基礎(chǔ)上，可以增加CAPTCHA驗證碼技術(shù)，用來作為區(qū)分機器用戶名/密碼探測和虛假登錄的手段，更進一步提高了本系統(tǒng)的安全性。（8）SQL注入攻擊控制SQL攻擊（SQL Injection），簡稱注入攻擊，是發(fā)生于應(yīng)用程序之?dāng)?shù)據(jù)庫層的安全漏洞。簡而言之，是在輸入的字符串之中注入SQL指令，在設(shè)計不良的程序當(dāng)中忽略了檢查，那么這些注入進去的指令就會被數(shù)據(jù)庫服務(wù)器誤認(rèn)為是正常的SQL指令而運行，因此遭到破壞。有部份人認(rèn)為SQL注入攻擊是只針對Microsoft SQL Server而來，但只要是支持批次處理SQL指令的數(shù)據(jù)庫服務(wù)器，都有可能受到此種手法的攻擊。在應(yīng)用程序中若有下列狀況，則可能應(yīng)用程序正暴露在SQL Injection的高風(fēng)險情況下：(1) 在應(yīng)用程序中使用字符串聯(lián)結(jié)方式組合SQL指令。(2) 在應(yīng)用程序鏈接數(shù)據(jù)庫時使用權(quán)限過大的帳戶(例如很多開發(fā)人員都喜歡用sa（內(nèi)置的最高權(quán)限的系統(tǒng)管理員帳戶）連接Microsoft SQL Server數(shù)據(jù)庫)。(3) 在數(shù)據(jù)庫中開放了不必要但權(quán)力過大的功能（例如在Microsoft SQL Server數(shù)據(jù)庫中的xp_cmdshell延伸預(yù)存程序或是OLE Automation預(yù)存程序等）(4) 太過于信任用戶所輸入的數(shù)據(jù)，未限制輸入的字符數(shù)，以及未對用戶輸入的數(shù)據(jù)做潛在指令的檢查。 教學(xué)儀器設(shè)備管理系統(tǒng)(SIIM)。在數(shù)據(jù)庫層，統(tǒng)一管理SQL語句，(Parameterized Query)方式來訪問數(shù)據(jù)庫。 系統(tǒng)結(jié)構(gòu)圖如圖一所示，可見系統(tǒng)分為： 、縣級管理部門管理端學(xué)校向市、縣級實時傳送教學(xué)儀器，實驗室儀器等統(tǒng)計信息。學(xué) 校 平 臺：登記教學(xué)儀器，實驗室儀器等，提交申報采購需求。省級管理端，提供相對完善的統(tǒng)計分析，設(shè)定教學(xué)儀器標(biāo)準(zhǔn)，安排教學(xué)儀器的申報采購等功能。省級中心數(shù)據(jù)服務(wù)器市、縣級管理端市、縣級數(shù)據(jù)服務(wù)器市、縣級數(shù)據(jù)服務(wù)器市、縣級管理端市、縣級管理端市、縣級數(shù)據(jù)服務(wù)器市、縣級數(shù)據(jù)服務(wù)器市、縣級數(shù)據(jù)服務(wù)器市、縣級數(shù)據(jù)服務(wù)器學(xué) 校 平 臺：登記教學(xué)儀器，實驗室儀器等，提交申報采購需求。學(xué) 校 平 臺：登記教學(xué)儀器，實驗室儀器等，提交申報采購需求。市、縣及向省級實時傳送教學(xué)儀器，實驗室儀器等統(tǒng)計信息。 系統(tǒng)功能圖 學(xué)校平臺功能設(shè)定 實驗室管理 實驗課管理 圖書館管理 裝備標(biāo)準(zhǔn)（初始化） 統(tǒng)計分析 日常辦公 申報采購 學(xué)校平臺功能概述系統(tǒng)管理，主要針對系統(tǒng)的管理部門和機構(gòu)進行設(shè)置。包括分類瀏覽，行政單位設(shè)置，操作員設(shè)置，責(zé)任人設(shè)置，報賬部門設(shè)置，歸口部門設(shè)置，申報部門設(shè)置，實驗室設(shè)置，教學(xué)科目設(shè)置，管理級別設(shè)置，存放地點設(shè)置，經(jīng)費來源設(shè)置，系統(tǒng)日志。對使用本系統(tǒng)的教育單位、學(xué)校的詳細(xì)信息進行設(shè)置。具體內(nèi)容包括：自動生成的單位ID，單位類型（教育主管單位，學(xué)校），學(xué)校類型（小學(xué)，中學(xué)），學(xué)校類別，直屬關(guān)系（非直屬，省直屬，地區(qū)直屬，縣直屬），單位代號，單位名稱，省份，城市，區(qū)域，注冊時間，平行班數(shù)量。 對本教育單位、學(xué)校的責(zé)任人進行管理。具體包括：“新增”、“編輯”、“刪除”操作。操作完成后，詳細(xì)信息以列表的形式顯示。在責(zé)任人設(shè)置的時候，包括：自動生成的責(zé)任人ID，責(zé)任人所屬的單位，責(zé)任人名稱。對本教育單位、學(xué)校的報賬部門進行管理。具體包括：“新增”、“編輯”、“刪除”操作。操作完成后，詳細(xì)信息以列表的形式顯示。在報賬部門設(shè)置的時候，包括：自動生成的報帳部門ID，所屬的單位，報帳部門名稱。對本教育單位、學(xué)校的歸口部門進行管理。具體包括：“新增”、“編輯”、“刪除”操作。操作完成后，詳細(xì)信息以列表的形式顯示。在進行歸口部門設(shè)置的時候，包括：自動生成的歸口部門ID，所屬的單位，歸口部門名稱。對本教育單位、學(xué)校的申報部門進行管理。具體包括：“新增”、“編輯”、“刪除”操作。操作完成后，詳細(xì)信息以列表的形式顯示。在進行申報部門設(shè)置的時候，包括：自動生成的申報部門ID，所屬的單位，申報部門名稱。對本教育單位、學(xué)校的存放地點進行管理。具體包括：“新增”、“編輯”、“刪除”操作。操作完成后，詳細(xì)信息以列表的形式顯示。在進行存放地點設(shè)置的時候，包括：自動生成的存放地點ID，所屬的單位，存放地點名稱。 權(quán)限管理 角色管理用戶自定義當(dāng)前單位的操作員角色，默認(rèn)系統(tǒng)管理員由上級主管部門設(shè)定，具有全部權(quán)限，即可以操作所有頁面。每增加一種用戶角色，可以賦予該角色相應(yīng)的頁面訪問權(quán)限。具體包括：“新增”、“編輯”、“刪除”操作。操作完成后，詳細(xì)信息以列表的形式顯示。 操作員管理設(shè)置可以訪問，管理本系統(tǒng)的工作人員信息。同時根據(jù)“角色管理”中設(shè)定的角色信息，操作員唯一對應(yīng)一種角色。即具有訪問某些頁面的權(quán)限。 設(shè)備管理設(shè)備管理，由具有訪問權(quán)限的操作員，在具體的目錄下 新增、編輯 具體的設(shè)備 （主要價格、費用、來源、附件等問題）, 設(shè)備使用記錄 （借出、歸還等 ），設(shè)備維修記錄，設(shè)備損耗記錄 （報損、報失、報廢）注意藥品易耗品的領(lǐng)用消耗情況。并交由審核人員審核后方可生效。在這里主要通過批次對設(shè)備進行管理，對批次包括“新增”，“編輯”，“刪除”，“查詢”等操作，在對批次進行刪除時，如果該批次中含有設(shè)備信息，則不能刪除該批次，需首先刪除該批次中的所有設(shè)備信息。在進行批次管理的時候包括：自動生成的批次ID，批次編號，批次名稱，單位，報賬時間，登記時間，填表人，填表時間，教室（實驗室）。通過對某一特定批次對設(shè)備進行“新增”，“編輯”，“刪除”，“查詢”，在對設(shè)備進行刪除時，如果該設(shè)備中含有附件信息，則不能刪除該設(shè)備，需首先刪除該設(shè)備中的所有附