【正文】 以下幾方面：①不當(dāng)?shù)念愋吞幚?；②不安全的?shù)據(jù)庫配置；③不合理的查詢集處理；④不當(dāng)?shù)腻e誤處理；⑤轉(zhuǎn)義字符處理不合適；⑥多個提交處理不當(dāng)。 防止sql注入 主要有六種防止sql注入的方法。對用戶的輸入進行校驗，可以通過正則表達式，或限制長度；對單引號和雙進行轉(zhuǎn)換等。，可以使用參數(shù)化的sql或者直接使用存儲過程進行數(shù)據(jù)查詢存取。，為每個應(yīng)用使用單獨的權(quán)限有限的數(shù)據(jù)庫連接。，加密或者hash掉密碼和敏感的信息。，軟件一般采用sql注入檢測工具jsky，網(wǎng)站平臺就有億思網(wǎng)站安全平臺檢測工具。MDCSOFT SCAN等。采用MDCSOFTIPS可以有效的防御SQL注入，XSS攻擊等。3 過程論述 需求分析 系統(tǒng)綜合要求管理人員能夠通過管理員入口輸入賬號、密碼（本系統(tǒng)默認的賬號密碼都是Admin）選擇進入合同管理或者是汽車信息管理。游客通過公司的主頁實現(xiàn)對公司業(yè)務(wù)的了解，對公司信息的了解，獲得自己需求的車輛信息，獲得公司的聯(lián)系方式，以及需要租貸車輛的有關(guān)信息，進行會員注冊。游客進行注冊，注冊后成為公司的會員，可以享受查看汽車信息，在線查詢，在線提交租貸合同。管理人員通過前臺進入合同管理，實現(xiàn)合同的管理。通過游客提交的租貸合同增加合同信息：通過新增的業(yè)務(wù)信息添加新的合同。刪除合同信息：通過指定的合同（合同的id），刪除該合同。修改合同信息：通過需要修改的合同，修改有關(guān)合同的信息（合同的填寫時間、有關(guān)汽車的信息、租貸人姓名）。顯示所有的合同信息：能夠在頁面顯示所有合同的信息。管理員通過前臺進入汽車信息管理。增加汽車信息：增加有關(guān)汽車的信息（汽車的名稱、汽車的車牌號碼）。刪除汽車信息：通過汽車的id，刪除指定的汽車。修改汽車信息：通過指定的汽車id，修改汽車的名稱和汽車的車牌號碼。顯示所有的信息：在頁面上顯示所有的汽車信息。過程論述 系統(tǒng)功能模塊設(shè)計 本系統(tǒng)主要有以下幾大功能：游客信息功能、會員業(yè)務(wù)功能、管理人員功能。如圖2所示：圖2 系統(tǒng)功能模塊圖 汽車租貸系統(tǒng)的總體設(shè)計 系統(tǒng)操作介紹首先瀏覽網(wǎng)頁，普通游客可以瀏覽公司的信息，如果是管理員，輸入管理員賬號密碼（賬號密碼本系統(tǒng)設(shè)計初都是Admin）可以進入后臺進行后臺的管理操作。 系統(tǒng)功能圖系統(tǒng)的基本系統(tǒng)功能圖如圖3所示：圖3 系統(tǒng)功能圖 數(shù)據(jù)庫設(shè)計 在設(shè)計數(shù)據(jù)庫時，綜合實際情況，主要設(shè)計了5個表：會員信息表、會員提交合同表、汽車信息表、車輛租貸合同表和管理員信息表。表1是會員信息標的設(shè)計。表1 會員信息表列名類型/大小鍵/允許空描述IdInt/4—對記錄標識遞增量1UsernameVarchar/20否會員名PasswordVarchar/20否會員密碼QqVarchar/20否Qq號碼PhonenumberVarchar/20否電話號碼AddressVarchar/40否地址表2是會員提交合同表的設(shè)計表2 提交合同表列名類型/大小鍵/允許空描述IdInt/4—對記錄標識遞增量1NameVarchar/20否租貸人姓名TianshuVarchar/20否需要租貸的天數(shù)CarinforVarchar/20否汽車的車牌和名稱PhonenumberVarchar/20否電話號碼DaytimeVarchar/20否租貸開始的日期表3是汽車信息表的設(shè)計。表3 汽車信息表列名類型/大小鍵/允許空描述IdInt/4—對記錄標識遞增量1CarnameVarchar/20否汽車的名字CarnumberVarchar/20否汽車的車牌號表4是車輛租貸合同表的設(shè)計。表4 車輛租貸合同表列名類型/大小鍵/允許空描述IdInt/4—對記錄標識遞增量1createTimeVarchar/20否增加合同的時間carnameVarchar/20否汽車名稱和車牌號peoplenameVarchar/20否租貸人的姓名表5是管理人員表的設(shè)計表5 管理員信息表列名類型/大小鍵/允許空描述IdInt/4—對記錄標識遞增量1NameVarchar/20否管理員姓名PasswordVarchar/20否登陸密碼4 汽車租貸系統(tǒng)詳細設(shè)計 數(shù)據(jù)庫設(shè)計的實現(xiàn) 首先建立好數(shù)據(jù)庫Carsystem，再建立表。實現(xiàn)過程在SQL2005執(zhí)行下列代碼。 建立數(shù)據(jù)庫create database Carsystem 建立汽車信息表create table CarInfo( id int identity(1,1) primary key, carname varchar(20) not null, carnumber varchar(20) ) 建立車輛租賃表create table ZfInfo( id int identity(1,1) primary key, createTime varchar(20) not null, carname varchar(20) not null, peoplename varchar(20) not null ) 建立會員信息表create table CarInfo( id int identity(1,1) primary key, Username varchar(20) not null, Password varchar(20) not null, Qq varchar(20) not null,汽車租賃系統(tǒng)詳細設(shè)計Phonenumber varchar(20) not null, Address varchar(20) not null)建立提交合同表create table CarInfo (id int identity(1,1) primary key,Name varchar(20) not null,Tianshu varchar(20) not null,Qq varchar(20) not null,Carinfor varchar(20) not null,Phonenumber varchar(20) not null，Daytime archar(20) not null) 建立管理人員信息表create table CarInfo (id int identity(1,1) primary key,Name varchar(20) not null,Password varchar(20) not null) 數(shù)據(jù)表操作類的各種方法設(shè)計 在完成前面的需求分析和數(shù)據(jù)庫的建立后，現(xiàn)在要完成的是數(shù)據(jù)表操作類的設(shè)，在實際的項目中數(shù)據(jù)表的操作類肯定是對數(shù)據(jù)表的增刪查改，數(shù)據(jù)表的增刪查改我們一般來說是封裝在一個類或多個類，我建立的數(shù)據(jù)庫有5個數(shù)據(jù)表，相對應(yīng)的是5個數(shù)據(jù)表的操作類。主要對車輛信息操作類和合同信息的操作類。對汽車信息標的操作類：增加汽車信息、刪除汽車信息、修改汽車信息、顯示全部汽車信息。對汽車租貸合同表的操作類：增加車輛租貸合同、刪除車輛租貸合同、修改車輛租貸合同、顯示全部車輛租貸合同。 整個系統(tǒng)構(gòu)架的實現(xiàn)在這個項目中我們采用的是三層架構(gòu)，即WEB（界面顯示層）、BLL（業(yè)務(wù)邏輯層）、DAL（數(shù)據(jù)訪問層）。WEB是調(diào)用BLL，BLL又是調(diào)用DAL。對數(shù)據(jù)庫的訪問操作全部是放在DAL中的。顯而易見數(shù)據(jù)表操作類肯定是放在DAL中的。根據(jù)這些知識，現(xiàn)在用VS2008先建立一個網(wǎng)站取名為WEB，然后在該網(wǎng)站上分辨添加DAL、BLL和Model三個類庫。DAL（數(shù)據(jù)訪問層）的實現(xiàn)：主要包括上那個類：數(shù)據(jù)庫助手類，車輛信息操作類和合同信息操作類。數(shù)據(jù)庫助手類，也就是提供各種各樣對數(shù)據(jù)庫的訪問，包括對數(shù)據(jù)庫的增刪查改。車輛信息操作類，增加汽車信息、刪除汽車信息、修改汽車信息、顯示全部汽車信息。合同信息操作類，增加車輛租貸合同、刪除車輛租貸合同、修改車輛租貸合同、顯示全部車輛租貸合同。BLL的實現(xiàn)：、。實現(xiàn)對業(yè)務(wù)的一個綜合處理。WEB的實現(xiàn)：主要包含三個頁面：、。應(yīng)該也要包含母版頁，考慮到該系統(tǒng)的頁面比較少，就在這里省略了。但是在實際的具體項目中不能少。 DAL的具體實現(xiàn)在DAL類庫中，是我們具體實現(xiàn)的對操作表的功能的設(shè)計，在這里是我們實現(xiàn)對數(shù)據(jù)庫具體的操作類。首先是數(shù)據(jù)庫的連接。Windows 身份驗證方式，因為我在建立數(shù)據(jù)庫的時候是采用Windows身份驗證。具體的方法如下面的代碼：public SQLHelper() { string conStr = Data Source= (local)。Initial Catalog=Carsystem。Integrated Security=true。 conn = new SqlConnection(conStr)。 } 建立好數(shù)據(jù)庫連接，然后是實現(xiàn)各個操作類，在這里我主要展示汽車信息表操作類和合同信息表操作類的代碼如下所示：汽車信息表操作類各種方法的實現(xiàn)。其中所要用到的命名空間：using System。using 。using 。using 。using 。初始化的方法：public class CarInfoDAO { private SQLHelper sqlhelper = null。 public CarInfoDAO() { sqlhelper = new SQLHelper()。 }增加汽車信息的方法：public bool Insert(string caName, string caNumber) { bool flag = false。 string sql = insert into CarInfo(carname,carnumber) values(39。 + caName + 39。,39。 + caNumber + 39。)。 int res = (sql)。 if (res 0) { flag = true。 } return flag。 }刪除汽車信息的方法：public bool Cardelete(string caName) { bool flag = false。 string sql = delete from CarInfo where carnumber=39。 + caName + 39。 int res = (sql)。 if (res 0) { flag = true。 } return flag。 }修改汽車的方法：public bool Carupdata(string id, string caName, string caNumber) { bool flag = false。 string sql = update CarInfo set carname=39。 + caName + 39。, carnumber=39。 + caNumber + 39。 where id=39。 + id + 39。 int res = (sql)。 if (res 0) { flag = true。 } return flag。 }取出所有的汽車信息的方法：public DataTable SelectAll() { DataTable dt = new DataTable()。 string sql = select * from CarInfo。 dt = (sql)。 return dt。 }合同信息表操作類各種方法的實現(xiàn)初始化：private SQLHelper sqlhelper = null。 public ZfInfoDAO() { sqlhelper = new SQLHelper()。 }增加合同信息的方法：public bool Insertzf(string caTime, string caCinfo, string caPeople) {