【正文】 以下幾方面：①不當(dāng)?shù)念愋吞幚恚虎诓话踩臄?shù)據(jù)庫(kù)配置；③不合理的查詢集處理；④不當(dāng)?shù)腻e(cuò)誤處理；⑤轉(zhuǎn)義字符處理不合適；⑥多個(gè)提交處理不當(dāng)。 防止sql注入 主要有六種防止sql注入的方法。對(duì)用戶的輸入進(jìn)行校驗(yàn)，可以通過(guò)正則表達(dá)式，或限制長(zhǎng)度；對(duì)單引號(hào)和雙進(jìn)行轉(zhuǎn)換等。，可以使用參數(shù)化的sql或者直接使用存儲(chǔ)過(guò)程進(jìn)行數(shù)據(jù)查詢存取。，為每個(gè)應(yīng)用使用單獨(dú)的權(quán)限有限的數(shù)據(jù)庫(kù)連接。，加密或者h(yuǎn)ash掉密碼和敏感的信息。，軟件一般采用sql注入檢測(cè)工具jsky，網(wǎng)站平臺(tái)就有億思網(wǎng)站安全平臺(tái)檢測(cè)工具。MDCSOFT SCAN等。采用MDCSOFTIPS可以有效的防御SQL注入，XSS攻擊等。3 過(guò)程論述 需求分析 系統(tǒng)綜合要求管理人員能夠通過(guò)管理員入口輸入賬號(hào)、密碼（本系統(tǒng)默認(rèn)的賬號(hào)密碼都是Admin）選擇進(jìn)入合同管理或者是汽車信息管理。游客通過(guò)公司的主頁(yè)實(shí)現(xiàn)對(duì)公司業(yè)務(wù)的了解，對(duì)公司信息的了解，獲得自己需求的車輛信息，獲得公司的聯(lián)系方式，以及需要租貸車輛的有關(guān)信息，進(jìn)行會(huì)員注冊(cè)。游客進(jìn)行注冊(cè)，注冊(cè)后成為公司的會(huì)員，可以享受查看汽車信息，在線查詢，在線提交租貸合同。管理人員通過(guò)前臺(tái)進(jìn)入合同管理，實(shí)現(xiàn)合同的管理。通過(guò)游客提交的租貸合同增加合同信息：通過(guò)新增的業(yè)務(wù)信息添加新的合同。刪除合同信息：通過(guò)指定的合同（合同的id），刪除該合同。修改合同信息：通過(guò)需要修改的合同，修改有關(guān)合同的信息（合同的填寫時(shí)間、有關(guān)汽車的信息、租貸人姓名）。顯示所有的合同信息：能夠在頁(yè)面顯示所有合同的信息。管理員通過(guò)前臺(tái)進(jìn)入汽車信息管理。增加汽車信息：增加有關(guān)汽車的信息（汽車的名稱、汽車的車牌號(hào)碼）。刪除汽車信息：通過(guò)汽車的id，刪除指定的汽車。修改汽車信息：通過(guò)指定的汽車id，修改汽車的名稱和汽車的車牌號(hào)碼。顯示所有的信息：在頁(yè)面上顯示所有的汽車信息。過(guò)程論述 系統(tǒng)功能模塊設(shè)計(jì) 本系統(tǒng)主要有以下幾大功能：游客信息功能、會(huì)員業(yè)務(wù)功能、管理人員功能。如圖2所示：圖2 系統(tǒng)功能模塊圖 汽車租貸系統(tǒng)的總體設(shè)計(jì) 系統(tǒng)操作介紹首先瀏覽網(wǎng)頁(yè)，普通游客可以瀏覽公司的信息，如果是管理員，輸入管理員賬號(hào)密碼（賬號(hào)密碼本系統(tǒng)設(shè)計(jì)初都是Admin）可以進(jìn)入后臺(tái)進(jìn)行后臺(tái)的管理操作。 系統(tǒng)功能圖系統(tǒng)的基本系統(tǒng)功能圖如圖3所示：圖3 系統(tǒng)功能圖 數(shù)據(jù)庫(kù)設(shè)計(jì) 在設(shè)計(jì)數(shù)據(jù)庫(kù)時(shí)，綜合實(shí)際情況，主要設(shè)計(jì)了5個(gè)表：會(huì)員信息表、會(huì)員提交合同表、汽車信息表、車輛租貸合同表和管理員信息表。表1是會(huì)員信息標(biāo)的設(shè)計(jì)。表1 會(huì)員信息表列名類型/大小鍵/允許空描述IdInt/4—對(duì)記錄標(biāo)識(shí)遞增量1UsernameVarchar/20否會(huì)員名PasswordVarchar/20否會(huì)員密碼QqVarchar/20否Qq號(hào)碼PhonenumberVarchar/20否電話號(hào)碼AddressVarchar/40否地址表2是會(huì)員提交合同表的設(shè)計(jì)表2 提交合同表列名類型/大小鍵/允許空描述IdInt/4—對(duì)記錄標(biāo)識(shí)遞增量1NameVarchar/20否租貸人姓名TianshuVarchar/20否需要租貸的天數(shù)CarinforVarchar/20否汽車的車牌和名稱PhonenumberVarchar/20否電話號(hào)碼DaytimeVarchar/20否租貸開始的日期表3是汽車信息表的設(shè)計(jì)。表3 汽車信息表列名類型/大小鍵/允許空描述IdInt/4—對(duì)記錄標(biāo)識(shí)遞增量1CarnameVarchar/20否汽車的名字CarnumberVarchar/20否汽車的車牌號(hào)表4是車輛租貸合同表的設(shè)計(jì)。表4 車輛租貸合同表列名類型/大小鍵/允許空描述IdInt/4—對(duì)記錄標(biāo)識(shí)遞增量1createTimeVarchar/20否增加合同的時(shí)間carnameVarchar/20否汽車名稱和車牌號(hào)peoplenameVarchar/20否租貸人的姓名表5是管理人員表的設(shè)計(jì)表5 管理員信息表列名類型/大小鍵/允許空描述IdInt/4—對(duì)記錄標(biāo)識(shí)遞增量1NameVarchar/20否管理員姓名PasswordVarchar/20否登陸密碼4 汽車租貸系統(tǒng)詳細(xì)設(shè)計(jì) 數(shù)據(jù)庫(kù)設(shè)計(jì)的實(shí)現(xiàn) 首先建立好數(shù)據(jù)庫(kù)Carsystem，再建立表。實(shí)現(xiàn)過(guò)程在SQL2005執(zhí)行下列代碼。 建立數(shù)據(jù)庫(kù)create database Carsystem 建立汽車信息表create table CarInfo( id int identity(1,1) primary key, carname varchar(20) not null, carnumber varchar(20) ) 建立車輛租賃表create table ZfInfo( id int identity(1,1) primary key, createTime varchar(20) not null, carname varchar(20) not null, peoplename varchar(20) not null ) 建立會(huì)員信息表create table CarInfo( id int identity(1,1) primary key, Username varchar(20) not null, Password varchar(20) not null, Qq varchar(20) not null,汽車租賃系統(tǒng)詳細(xì)設(shè)計(jì)Phonenumber varchar(20) not null, Address varchar(20) not null)建立提交合同表create table CarInfo (id int identity(1,1) primary key,Name varchar(20) not null,Tianshu varchar(20) not null,Qq varchar(20) not null,Carinfor varchar(20) not null,Phonenumber varchar(20) not null，Daytime archar(20) not null) 建立管理人員信息表create table CarInfo (id int identity(1,1) primary key,Name varchar(20) not null,Password varchar(20) not null) 數(shù)據(jù)表操作類的各種方法設(shè)計(jì) 在完成前面的需求分析和數(shù)據(jù)庫(kù)的建立后，現(xiàn)在要完成的是數(shù)據(jù)表操作類的設(shè)，在實(shí)際的項(xiàng)目中數(shù)據(jù)表的操作類肯定是對(duì)數(shù)據(jù)表的增刪查改，數(shù)據(jù)表的增刪查改我們一般來(lái)說(shuō)是封裝在一個(gè)類或多個(gè)類，我建立的數(shù)據(jù)庫(kù)有5個(gè)數(shù)據(jù)表，相對(duì)應(yīng)的是5個(gè)數(shù)據(jù)表的操作類。主要對(duì)車輛信息操作類和合同信息的操作類。對(duì)汽車信息標(biāo)的操作類：增加汽車信息、刪除汽車信息、修改汽車信息、顯示全部汽車信息。對(duì)汽車租貸合同表的操作類：增加車輛租貸合同、刪除車輛租貸合同、修改車輛租貸合同、顯示全部車輛租貸合同。 整個(gè)系統(tǒng)構(gòu)架的實(shí)現(xiàn)在這個(gè)項(xiàng)目中我們采用的是三層架構(gòu)，即WEB（界面顯示層）、BLL（業(yè)務(wù)邏輯層）、DAL（數(shù)據(jù)訪問(wèn)層）。WEB是調(diào)用BLL，BLL又是調(diào)用DAL。對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)操作全部是放在DAL中的。顯而易見(jiàn)數(shù)據(jù)表操作類肯定是放在DAL中的。根據(jù)這些知識(shí)，現(xiàn)在用VS2008先建立一個(gè)網(wǎng)站取名為WEB，然后在該網(wǎng)站上分辨添加DAL、BLL和Model三個(gè)類庫(kù)。DAL（數(shù)據(jù)訪問(wèn)層）的實(shí)現(xiàn)：主要包括上那個(gè)類：數(shù)據(jù)庫(kù)助手類，車輛信息操作類和合同信息操作類。數(shù)據(jù)庫(kù)助手類，也就是提供各種各樣對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)，包括對(duì)數(shù)據(jù)庫(kù)的增刪查改。車輛信息操作類，增加汽車信息、刪除汽車信息、修改汽車信息、顯示全部汽車信息。合同信息操作類，增加車輛租貸合同、刪除車輛租貸合同、修改車輛租貸合同、顯示全部車輛租貸合同。BLL的實(shí)現(xiàn)：、。實(shí)現(xiàn)對(duì)業(yè)務(wù)的一個(gè)綜合處理。WEB的實(shí)現(xiàn)：主要包含三個(gè)頁(yè)面：、。應(yīng)該也要包含母版頁(yè)，考慮到該系統(tǒng)的頁(yè)面比較少，就在這里省略了。但是在實(shí)際的具體項(xiàng)目中不能少。 DAL的具體實(shí)現(xiàn)在DAL類庫(kù)中，是我們具體實(shí)現(xiàn)的對(duì)操作表的功能的設(shè)計(jì)，在這里是我們實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)具體的操作類。首先是數(shù)據(jù)庫(kù)的連接。Windows 身份驗(yàn)證方式，因?yàn)槲以诮?shù)據(jù)庫(kù)的時(shí)候是采用Windows身份驗(yàn)證。具體的方法如下面的代碼：public SQLHelper() { string conStr = Data Source= (local)。Initial Catalog=Carsystem。Integrated Security=true。 conn = new SqlConnection(conStr)。 } 建立好數(shù)據(jù)庫(kù)連接，然后是實(shí)現(xiàn)各個(gè)操作類，在這里我主要展示汽車信息表操作類和合同信息表操作類的代碼如下所示：汽車信息表操作類各種方法的實(shí)現(xiàn)。其中所要用到的命名空間：using System。using 。using 。using 。using 。初始化的方法：public class CarInfoDAO { private SQLHelper sqlhelper = null。 public CarInfoDAO() { sqlhelper = new SQLHelper()。 }增加汽車信息的方法：public bool Insert(string caName, string caNumber) { bool flag = false。 string sql = insert into CarInfo(carname,carnumber) values(39。 + caName + 39。,39。 + caNumber + 39。)。 int res = (sql)。 if (res 0) { flag = true。 } return flag。 }刪除汽車信息的方法：public bool Cardelete(string caName) { bool flag = false。 string sql = delete from CarInfo where carnumber=39。 + caName + 39。 int res = (sql)。 if (res 0) { flag = true。 } return flag。 }修改汽車的方法：public bool Carupdata(string id, string caName, string caNumber) { bool flag = false。 string sql = update CarInfo set carname=39。 + caName + 39。, carnumber=39。 + caNumber + 39。 where id=39。 + id + 39。 int res = (sql)。 if (res 0) { flag = true。 } return flag。 }取出所有的汽車信息的方法：public DataTable SelectAll() { DataTable dt = new DataTable()。 string sql = select * from CarInfo。 dt = (sql)。 return dt。 }合同信息表操作類各種方法的實(shí)現(xiàn)初始化：private SQLHelper sqlhelper = null。 public ZfInfoDAO() { sqlhelper = new SQLHelper()。 }增加合同信息的方法：public bool Insertzf(string caTime, string caCinfo, string caPeople) {