【正文】 表用于保存系部信息。系部表結構如表 36 所示。 表 36 系部表 字 段 名 稱 字 段 描 述 主 鍵 類 型 長 度 說 明 bianhao 編號 是 字符型 4 系統(tǒng)自動分配序號 xibie 系別 字符型 50 非空 （ 7） 學年表（ xuenianbiao） 學年表用于保存學年信息。學年表結構如表 37 所示。 表 37 學年表表 字 段 名 稱 字 段 描 述 主 鍵 類 型 長 度 說 明 bianhao 編號 是 字符型 4 系統(tǒng)自動分配序號 xuenian 學年 字符型 8 非空 （ 8） 學期表 (xueqibiao) 學期表用于保存學期信息。學期表結構如表 38 所示。 表 38 學期表 字 段 名 稱 字 段 描 述 主 鍵 類 型 長 度 說 明 bianhao 編號 是 字符型 4 系統(tǒng)自動分配序號 xueqi 學期 字符型 8 非空 （ 9） 周次表（ zhoucibiao） 周次表用于保存周次信息。周次信息表結構如表 39 所示。 表 39 周次表 字 段 名 稱 字 段 描 述 主 鍵 類 型 長 度 說 明 bianhao 編號 是 字符型 4 系統(tǒng)自動分配序號 zhouci 周次 字符型 8 非空 (10) 節(jié)次表 (jiecibiao) 節(jié)次表用于保存 節(jié)次信息。節(jié)次信息表結構如表 310 所示。 表 310 周次表 字 段 名 稱 字 段 描 述 主 鍵 類 型 長 度 說 明 bianhao 編號 是 字符型 4 系統(tǒng)自動分配序號 jieci 節(jié)次 日期 8 非空 (11) 實驗室安排初表（ shiyanshianpaibiao） 該表用于保存用戶申請實驗室信息。實驗室安排初表結構如表 311 所示。 表 311 實驗室安排初表 字 段 名 稱 字段描述 主 鍵 類 型 長度 說 明 bianhao 編號 是 字符型 4 系統(tǒng)自 動分配序號 xuenian 學年 字符型 8 非空 xueqi 學期 字符型 8 非空 zhouci 周次 字符型 8 非空 jieci 節(jié)次 字符型 8 非空 banji 班級 字符型 8 非空 renshu 人數(shù) 字符型 4 非空 shenqingren 申請人 字符型 50 非空 kechengmingcheng 課程名稱 字符型 50 shiyanmingcheng 實驗名稱 字符型 50 shiyanshimingcheng 實驗室名稱 字符型 50 (12) 實驗室安排終表（ shiyanshianpaibiao） 該表用于保存實驗室最終安排信息。實驗室安排終表結構如表 312 所示。 表 312 實驗室安排終表 字 段 名 稱 字段描述 主 鍵 類 型 長度 說 明 bianhao 編號 是 字符型 4 系統(tǒng)自動分配序號 xuenian 學年 字符型 8 非空 xueqi 學期 字符型 8 非空 zhouci 周次 字符型 8 非空 jieci 節(jié)次 字符型 8 非空 banji 班級 字符型 8 非空 renshu 人數(shù) 字符型 4 非空 shenqingren 申請人 字符型 50 非空 kechengmingcheng 課程名稱 字符型 50 shiyanmingcheng 實驗名稱 字符型 50 shiyanshimingcheng 實 驗 室 名稱 字符型 50 第四章 系統(tǒng)實施 關鍵技術 :用 NET 框架創(chuàng)作安全性網站 很多 人 在嘗試寫出帶有登陸這樣功能的網站，其方法幾乎都是驗證用戶的登陸合法，然后發(fā)送一個表示驗證的 Cookie，或者在 Session 中保存信息以便于追蹤接下來的訪問授 權，其實，這些細節(jié)化的操作， .NET 都提供了一種非常有效的解決辦法，能使你從繁瑣的安全驗證上解脫出來，而且，盡管你可能很小心地定義那些頁面不能被沒有權限的人訪問，然而還有可能出現(xiàn)一些無法被檢查出來的漏洞讓他們跳過安全驗證。 本 說明書 將介紹如下內容： （ 1）關 于登陸驗證和授權 很多網站都有登陸對話框，讓事先已經注冊的用戶驗證，以便為他們提供個性化的服務等?？梢园堰@個過程看作是兩件事情的發(fā)生：驗證和授權！登陸的作用是驗證請求登陸的用戶是否合法，而授權則是驗證合法的用戶在請求資源時，根據(jù)他們的權限決定是訪 問還是拒絕。 以上這種網站本身提供對話框的作法在 .NET 中被稱之為 Forms驗證模式，接下來將會講述這種驗證模式。在 .NET 的 中提供了一些網站安全方面的解決方案，盡管驗證用戶合法和授權的基本思路沒有變化，但是授權的工作幾乎已經交給 .NET 框架了，我們些代碼之需要自己驗證用戶合法，并且告訴框架這個用戶合法即可。 （ 2） 用 Forms 驗證模式 要使用啟用 Forms 驗證模式， 這將告訴 .NET，你的網站使用 Forms 驗證模式， .NET將不參與驗證用戶的工作，而是將這個工 作交給你完成，你必須自己編寫一些代碼來驗證用戶合法，并且報告給 .NET 用戶是合法的。 .NET 將會發(fā)送一個驗證 Cookie 到用戶，隨后的訪問中， .NET 以此 Cookie 為依據(jù)，來執(zhí)行授權的操作。 例如我們在 txtUserName 和 txtPassword，在數(shù)據(jù)庫中，保存了用戶名 UserName和密碼 UserPassword，使用 btnLogin 按鈕的 Click 事件來驗證用戶： private void btnLogin_Click(object sender, EventArgs e) { string sql = SELECT userid FROM Users WHERE UserName = 39。 + (39。,_) + 39。 AND UserPassword = 39。 + (xt, md5) + 39。 //使用上面類似的 SQL 語句向數(shù)據(jù)庫執(zhí)行查詢，如果用戶是合法的，將會返回數(shù)據(jù)。 if (...) //根據(jù)條件判定用戶是合法的 { //下面的語句告訴 .NET 發(fā)送一個驗證 Cookie 給用戶： (userid, false) ()。 //定位到登陸后頁面 } else { //用戶不合 法，提示錯誤信息 } } 以上代碼中， (39。,_)將用戶輸入的文本中單引號替換為下劃線，以防止 SQL 注入攻擊。 (xt, md5)方法將 轉換為 MD5散列值，通過 MD5 加密，即便此密文被截獲，攻擊者仍無法獲得真實的密碼。 當確認用戶驗證 是合法的，則調用(userid, false)方法，發(fā)送驗證 Cookie，此方法傳遞兩個參數(shù)，一個是代表用戶的標示，一般來說，在接下來確認用戶唯一身份的就是從數(shù)據(jù)庫中獲得的 userid。第二個參數(shù)告訴 .NET 是否寫入持續(xù)的 Cookie，如果為 true，則 Cookie 將被持續(xù)，下次用戶再次訪問時， Cookie 仍存在（相當于記住用戶，可以提供這樣的復選框讓用戶來決定是否持續(xù) Cookie）。發(fā)送了 Cookie 后，即可調用跳轉語句跳轉到指定地方。 （ 3） 資源的訪問 一旦驗證了用戶合法，接下來要做的事就是對于用戶請求的資源，授權他們是否能夠訪問。重新回到 ，在網站的任何目錄中都可以使用 ，他們的設置是傳遞繼承的。 例如在 users 目錄中存放的均是當用戶登錄后才能訪問的頁面，則在這個目錄中創(chuàng)建一個，內容如下： ?xml version= encoding=utf8 ? configuration ! 授權 此節(jié)設置應用程序的授權策略?？梢栽试S或拒絕不同的用戶或角色訪問 應用程序資源。通配符 : * 表示任何人， ? 表示匿名 (未經身份驗證的 )用戶。 authorization deny users=? / /authorization / /configuration 上述內容中 deny users=? 將告訴 .NET，此目錄拒絕匿名用戶的訪問，也就是沒有驗證的用戶。當用戶試圖請求此目錄中的資源，將會被重新定向到 ，要求登陸。沒有登陸的情況下是無法訪問的。 上述僅對目錄進行定義，程序員不用在頁面上添加任何代碼，即可完整地實現(xiàn)了授權方案。 屬性可以獲得用戶的 Name，即在驗證時的 SetAuthCookie 方法中傳遞的 userid。 （ 4） 于角色的授權 其基本原理是，一旦用戶驗證合法，他們就被分配角色，用戶可以使一個或者若干和角色，而資源的授權面向角色 ，這樣，針對不同的角色，就可以授予不同的權限，沒有某種角色類型的用戶試圖訪問需要這種角色的資源將會被拒絕。 當網站開始接受用戶請求時，就伴隨著驗證，將激發(fā) Application_AuthenticateRequest 事件，在 。角色的分配工作就需要再這里進行。 public void Application_AuthenticateRequest(object sender, EventArgs e) { if() { string[] rolesStrArr=new string[1]。 SqlConnection conn=new SqlConnection([sysapgl])。 string sqlstr=select yonghuquanxian from yhxxb where yonghubianhao= 39。++39。 ()。 SqlCommand cmd=new SqlCommand(sqlstr,conn)。 ()。 string iCount=(())。 if(iCount==管理員 ) { rolesStrArr[0]=管理員 。 } else { rolesStrArr[0]=普通用戶 。 } =new (,rolesStrArr)。 } } 我們調用 方法，在原有 User 對象的基礎上為其加入角色。 一旦用戶被授予訪問角色之后，在 中就可以配置針對不同角色的訪問。例如在管理員 admin 目錄內 configuration location path= authorization allow roles=管理員 / deny users=* / /authorization / /location /configuration 上述配置只允許管理員角色才能被授權。資源默認是任何人都訪問的，所以要在下面再添加 deny users=* /表示對任何用戶拒絕。全局的 User 對象提供了一個方法IsInRole(string RoleName)方法用來在代碼中檢測用戶是否擁有某種角色。如果他擁有這種角色，將返回 true。 第 五 章 總結 心得體會 通過這次的畢業(yè)設計 ,我對前面學過的許多課程有了更為深刻的理解。我們的專業(yè)知識還不夠訓練 ，并沒有做過一個像樣的動態(tài)網頁，遠沒有做 web 管理系統(tǒng)的經驗，所以參考其它的作品會使我們在開發(fā)過程中得到幫助，還有，就是網上有好多比較好的參考資料，網上論壇有好多高手，可以從他們那里得到幫助。否則遇到問題時不能自己解決，延緩開發(fā)進度，畢業(yè)設計也就不可能完成得了。 系統(tǒng)功能完成情況 經過自己的努力學習和摸索，老師和其他高手的指導，我的這個實驗室安排管理系統(tǒng)也經基本完成。實現(xiàn)了用戶的登錄，實驗室的申請，實驗室安排管理，用戶管理，個人設置和部分基本資料維護。 本系統(tǒng)具有較強的智能化，方便教師的實驗室申請，減 輕管理人員的工作，且系統(tǒng)的交互性也比較好，能給用戶適當?shù)奶崾?，使用戶作出相關操作。 所遇到的問題及解決方法 （ 1）問題： string yonghubianhao=。語名 yonghubianhao總是獲得第一個選項的值。解決方法： Page_Load(object sender, e)事件中用 if (!IsPostBack) 判斷是否為第一次加該頁。如果是才對 Dro