【文章內容簡介】 庫的安全性分析1. 對密碼加密別人盜走數據庫文件還不是最可怕的，最可怕的是他利用里面的用戶名和密碼非法登錄系統(tǒng)，從而進行更大的破壞。因此，就可以對數據庫使用MD5算法或SHA1算法對密碼進行加密，這樣就算別人盜走數據庫，也不知道密碼。具體步驟如下：當用戶注冊時，可以將用戶輸入的密碼加密后在保存到數據庫中；當用戶在次登錄輸入原始密碼后，再將密碼加密后和數據庫中的密碼進行判斷。2. 防止SQL注入式攻擊 SQL注入式攻擊是指一些人故意在表單中輸入SQL命令，使得程序判斷錯誤，然后達到非法進入系統(tǒng)或破壞系統(tǒng)的目的。要防范SQL注入式攻擊，其實就是要禁止客戶輸入危險字符，或者不讓客戶輸入的危險字符發(fā)揮作用。一般有以下幾種方法：⑴ 利用服務器驗證控件要求用戶必須輸入合法的字符。不允許用戶輸入單引號、OR等危險字符。⑵ 不要使用SQL字符串來判斷，而是使用含有參數的SQL語句或者存儲過程來判斷，這樣用戶輸入表單值是當作一個參數傳進去的，此時輸入的單引號就無法和SQL字符串中的單引號配對，也就無法發(fā)揮作用。⑶ 比較簡單的方法還有用Replace函數將用戶輸入的危險字符替換為對應的字符實體或者直接將其從字符串中刪除。3. 添加完整的用戶注冊、登錄和管理模塊應該添加完整的用戶管理系統(tǒng)，用戶必須注冊才能登錄系統(tǒng)，并且不同類型的用戶只能操作被授權的頁面。一般來說，普通用戶只能簡單到瀏覽系統(tǒng)，而管理員用戶則可以完成更多的操作。4. 使用復雜的記錄編號一般的頁面，不管是打開詳細的頁面，還是打開修改和刪除頁面，都是將記錄編號ID傳過去，在另一個頁面中根據這個編號處理相應的記錄。這種記錄編號一般都是自動編號類型，從1開始，依次類推。當打開某條記錄的修改頁面時，瀏覽器地址欄中顯示的是如下的URL。例如：://localhost/可以看到，最后面的2就是傳過來的記錄編號。如果用戶手工修改為3，4，然后按回車鍵，可能就會打開其他記錄的修改頁面。這種現象存在一定的危險性，比如某些用戶登錄系統(tǒng)后，如果他在瀏覽器地址欄中手工修改了這個編號，就可能會打開不屬于他的頁面。一個簡單的解決方法是修改自動編號字段的字段大小。因為此時的自動編號字段id不再是數字，而變?yōu)榱俗址?，所以在詳細、修改和刪除頁面中要修改用到的id的SQL語句。 52 5 詳細設計與系統(tǒng)實現 詳細設計是整個設計過程中，最重要的步驟之一。下面分幾個模塊對系統(tǒng)進行詳細設計。 模塊介紹該模塊主要由兩個頁面組成：系統(tǒng)登錄頁面（）和系統(tǒng)主頁面（）。其功能主要是對用戶登錄時進行身份鑒別，然后將用戶導向系統(tǒng)主頁，顯示當前用戶名稱，用戶在系統(tǒng)中所處的位置，并向用戶展示系統(tǒng)的主要功能，提示用戶可以進行的操作，同時隨時給予用戶系統(tǒng)的反饋信息。 在該模塊中，（本系統(tǒng)里設置的次數為4次），如果超過這個次數，系統(tǒng)不再顯示登錄頁面，用戶只能從系統(tǒng)里退出后重新進入登錄頁面，此時用戶以前輸入的身份信息都會被清空。本系統(tǒng)中的各個模塊里都用到了Session（會話）對象和Application（應用程序）對象。為了實現對用戶登錄嘗試次數的控制，附：SCRIPT LANGUAGE=VBScript RUNAT=ServerSub Application_OnStart Application(AllowAdds) = NO Application(NumAttempts) = 3 =1End Sub/SCRIPT上面源代碼里，聲明了Application對象的NumAttempts的值，其含義是指允許用戶嘗試登錄的次數。 模塊中的主要頁面示例1. 系統(tǒng)登錄頁面（）介紹系統(tǒng)登錄頁面（）主要用于對用戶身份進行鑒別。用戶通過填寫表單提供登錄信息，系統(tǒng)根據用戶所填寫的信息對用戶進行查詢鑒別，如果用戶的身份合法，則將用戶導向系統(tǒng)主頁面（）。另外該頁面指定系統(tǒng)允許用戶嘗試登錄次數（本系統(tǒng)里設置的次數為4次），如果超過這個次數，系統(tǒng)不再顯示登錄頁面，用戶只能從系統(tǒng)里退出后重新進入登錄頁面，此時用戶以前輸入的信息都會清空。⑴ 頁面截圖如圖51和圖52所示。圖51 系統(tǒng)登錄頁面圖1圖52 系統(tǒng)登錄頁面圖2⑵ 頁面中所用到的數據庫組件。 該頁面使用了一個系統(tǒng)用戶信息表（PSLogins）。在系統(tǒng)登錄頁面里要引用該表的ID字段、LoginID字段和Password字段進行用戶身份鑒別，如果用戶身份通過驗證，頁面還要紀錄用戶的詳細信息，留待以后系統(tǒng)中的其他頁面使用。⑶ 頁面中所用到的表單元素如表51所示。表51 系統(tǒng)登錄頁面中的表單元素名 稱表單元素類型Value 值含 義UsernameText用戶填寫用戶登陸名PasswordPassword用戶填寫用戶登陸密碼LoginSubmit登錄提交表單ResetReset重設重設表單⑷ ：首先是向系統(tǒng)編譯器說明腳本語言%@ Page Language=VB %對于系統(tǒng)而言，首先應該判斷用戶是否首次進入頁面，是則向用戶顯示登錄窗口，并記錄提交信息的次數，用字符串變量The Message來記錄顯示系統(tǒng)對用戶各項操作的反饋和信息。%39。 判斷用戶是否提交表單if isempty((Login)) then Session(NumAttempts) = 1TheMessage = 請在下面登錄：(缺省管理員用戶名:40231054,密碼:31415926)39。校驗用戶提交的用戶信息如果用戶已經提交信息，則對用戶所提交的信息進行字符串格式判斷，信息中不能含有“，”（單引號字符），然后建立和數據庫的連接。elseIf Instr(TheUsername, 39。)=0 and Instr(ThePassword, 39。)=0 and Instr(TheUsername, 39。)=0 _ and Instr(ThePassword, 39。)=0 then39。 建立數據庫的連接sqlConnection myConnection = new sqlConnction ( ) ； = “user id = sa 。 password = yourpassword 。” + “initial catalog = Datasource 。 data soure = my SQLServer 。 Connect Timeout = 3.” 。 ( ) 。TheUsername=(Username)ThePassword=(Password)系統(tǒng)登錄頁面有3種可能的狀態(tài)：（1）用戶第一次進入頁面。（2）用戶已經提交登錄信息，系統(tǒng)頁面做出反饋。（3）用戶已經多次提交登錄信息，并超過了系統(tǒng)設置的用戶登陸最大嘗試次數，則根據系統(tǒng)設置可以停止用戶登錄。然后根據用戶提供的信息，在數據庫表里進行匹配查詢set RSLogin = (select * from PSLogins where amp。 LoginID = 39。 _ amp。 TheUsername amp。 39。 and amp。 Password = 39。 amp。 ThePassword amp。 39。)如果無法匹配，則紀錄用戶登錄的次數if thenSession(NumAttempts) = Session(NumAttempts) + 1，則意味著系統(tǒng)的對登錄次數不作限制，生成反饋信息如下：登錄不成功，請重試:if Application(NumAttempts) = 0 thenTheMessage = 登錄不成功，請重試:如果Application對象的NumAttempts的值不為0，則對目前登錄次數和Application對象的NumAttempts的值中指定的登錄系數作比較，并提示當前用戶。elseif Session(NumAttempts) Application(NumAttempts) thenTheMessage = 登錄不成功，登錄次數已滿，無法重試elseTheTimes=Application(NumAttempts)Session(NumAttempts)+1TheMessage = 登錄不成功，還有 amp。 TheTimes amp。 次機會，請重試:end if如果登錄成功，則記錄下當前用戶的詳細信息，并導向系統(tǒng)主頁面。elseSession(ID) = RSLogin(LoginID) Application(ID) = RSLogin(LoginID) Session(Name) = RSLogin(Name) Session(Password) = RSLogin(Password) Session(Department) = RSLogin(Department) Session(EmailAddress)=RSLogin(EmailAddress) Session(Position)=RSLogin(Position) Session(HomePhone)=RSLogin(HomePhone) Session(MobilePhone)=RSLogin(MobilePhone) Session()=RSLogin() Session(Birthday)=RSLogin(Birthday) Session(HomeAddress)=RSLogin(HomeAddress) Session(IsSystemManager)=RSLogin(IsSystemManager) end ifelseTheMessage=用戶名或者密碼輸入不合格式 end ifend if在HTML頁面里，從而決定是否顯示用戶登錄頁面。% if TheMessage 登錄不成功，登錄次數已滿，無法重試 then % 員工信息管理模塊 模塊介紹 對于一個擁有數萬師生的高校來說，如果按照以前傳統(tǒng)的方式對員工的信息進行管理，首先需要動用大量人員浪費很多時間去進行信息調查、統(tǒng)計、整理，然后統(tǒng)一歸檔入庫保存起來；其次，一旦某個員工想要查詢其他員工的信息，也要花費大量的時間和精力；而且，如果某個員工想要修改自己的個人信息，還要得到專門負責的人員的許可，來回申請并提交他的個人信息進行審批，既費時又費力；最后，負責管理員工信息的人員要統(tǒng)一管理整個學校員工的信息，并根據需要及時的對其進行增加、刪除、修改、查詢，其工作量之大不言而喻。針對以上問題，本系統(tǒng)設計了校內員工信息管理模塊。該模塊主要負責對西安科技大學所有校內員工的信息進行統(tǒng)一管理。其主要功能描述如下所示：1. 按照不同的排序方式，對我校所有在校員工的信息進行查詢。2. 選擇我校某一具體院系，對該院系的所有員工的信息進行查詢。3. 選擇我校某一員工，對該員工的信息進行查詢。4. 用戶可以隨時修改自己的個人信息。5. 系統(tǒng)管理員可以隨時添加任一新員工信息，并對某一員工的信息進行必要的修改、刪除。對于普通用戶來說，進入該系統(tǒng)的員工信息主頁后，根據頁面提示，選擇自己想要查詢的員工信息進行查詢，并可以隨時修改自己的個人信息，信息修改完畢之后，系統(tǒng)會直接將用戶新錄入的信息保存到系統(tǒng)數據庫中并替換掉數據庫中用戶以前填寫的信息。這樣一來，用戶可以隨時隨地方便的查詢所有員工的信息。修改個人信息時也不用先申請管理員的許可，并將自己的修改信息提交進行審批。這就給用戶本人簡化了操作流程并節(jié)省了大量的時間，提高了查詢的效率。對于系統(tǒng)管理員來說，可以隨時錄入新員工信息，并對所有員工的信息進行增加、刪除、修改、查詢，并在系統(tǒng)數據庫中及時更新用戶信息，并立即返回到用戶的查詢界面中。 這樣一來，就代替了以前的有紙化辦公，不僅簡化了辦公流程，節(jié)省了大量的人力、物力和財力，而且大大的減輕了系統(tǒng)管理員的工作量，提高了辦公效率。 模塊的頁面邏輯結構示意圖具體圖形如圖53所示修改個人信息頁面管理員管理頁面添加新用戶頁面圖53 員工信息管理模塊頁面邏輯結構示意圖 模塊中的主要頁面示例1. 員工信息管理主頁（）介紹在此頁面中，用戶可以通過選擇不同的單選按鈕，進行相應的用戶信息查詢或執(zhí)行相應的用戶信息查詢或執(zhí)行相應的管理功能。此頁面的具體功能描述如下所示：① 按照不同的排序查詢校內所有員工的記錄。② 選擇查詢某一個部門全部員工的記錄。③ 選擇查詢某一個員工的記錄。④ 選擇修改用戶自己的員工記錄。⑤ 選擇以不同的排序方式進入系統(tǒng)管理員選項。（1）頁面截圖如圖54所示。（2）頁面中所用到的數據庫組件。 該頁面一共使用了三個數據庫組件：① 包含所有員工信息的系統(tǒng)用戶信息表（PSLogins），在員工信息主頁里要引用該表的用戶姓名字段、院系字段、職位字段和生日字段。② 學校院系信息表（Departments），在員工信息主頁里要引用該表的院系ID字段和院系名稱字段。③ 員工信息職位表（Positions），在員工信息主頁里要引用該表的職位ID字段和職位名稱字段。圖54 員工信息管理主頁（3）頁面中所用到的表單元素如表52所示。表52 員工信息管理主頁中的表單元素名稱表單元素類型Value值含義SendToRadioALLEmployeeInformation查詢所有員工信息DepartmentEmployeeInformation查詢某院系員工信息OneEmployeeInformation查詢某個員工信息