【文章內(nèi)容簡介】 庫的安全性分析1. 對密碼加密別人盜走數(shù)據(jù)庫文件還不是最可怕的，最可怕的是他利用里面的用戶名和密碼非法登錄系統(tǒng)，從而進行更大的破壞。因此，就可以對數(shù)據(jù)庫使用MD5算法或SHA1算法對密碼進行加密，這樣就算別人盜走數(shù)據(jù)庫，也不知道密碼。具體步驟如下：當(dāng)用戶注冊時，可以將用戶輸入的密碼加密后在保存到數(shù)據(jù)庫中；當(dāng)用戶在次登錄輸入原始密碼后，再將密碼加密后和數(shù)據(jù)庫中的密碼進行判斷。2. 防止SQL注入式攻擊 SQL注入式攻擊是指一些人故意在表單中輸入SQL命令，使得程序判斷錯誤，然后達到非法進入系統(tǒng)或破壞系統(tǒng)的目的。要防范SQL注入式攻擊，其實就是要禁止客戶輸入危險字符，或者不讓客戶輸入的危險字符發(fā)揮作用。一般有以下幾種方法：⑴ 利用服務(wù)器驗證控件要求用戶必須輸入合法的字符。不允許用戶輸入單引號、OR等危險字符。⑵ 不要使用SQL字符串來判斷，而是使用含有參數(shù)的SQL語句或者存儲過程來判斷，這樣用戶輸入表單值是當(dāng)作一個參數(shù)傳進去的，此時輸入的單引號就無法和SQL字符串中的單引號配對，也就無法發(fā)揮作用。⑶ 比較簡單的方法還有用Replace函數(shù)將用戶輸入的危險字符替換為對應(yīng)的字符實體或者直接將其從字符串中刪除。3. 添加完整的用戶注冊、登錄和管理模塊應(yīng)該添加完整的用戶管理系統(tǒng)，用戶必須注冊才能登錄系統(tǒng)，并且不同類型的用戶只能操作被授權(quán)的頁面。一般來說，普通用戶只能簡單到瀏覽系統(tǒng)，而管理員用戶則可以完成更多的操作。4. 使用復(fù)雜的記錄編號一般的頁面，不管是打開詳細(xì)的頁面，還是打開修改和刪除頁面，都是將記錄編號ID傳過去，在另一個頁面中根據(jù)這個編號處理相應(yīng)的記錄。這種記錄編號一般都是自動編號類型，從1開始，依次類推。當(dāng)打開某條記錄的修改頁面時，瀏覽器地址欄中顯示的是如下的URL。例如：://localhost/可以看到，最后面的2就是傳過來的記錄編號。如果用戶手工修改為3，4，然后按回車鍵，可能就會打開其他記錄的修改頁面。這種現(xiàn)象存在一定的危險性，比如某些用戶登錄系統(tǒng)后，如果他在瀏覽器地址欄中手工修改了這個編號，就可能會打開不屬于他的頁面。一個簡單的解決方法是修改自動編號字段的字段大小。因為此時的自動編號字段id不再是數(shù)字，而變?yōu)榱俗址?，所以在詳?xì)、修改和刪除頁面中要修改用到的id的SQL語句。 52 5 詳細(xì)設(shè)計與系統(tǒng)實現(xiàn) 詳細(xì)設(shè)計是整個設(shè)計過程中，最重要的步驟之一。下面分幾個模塊對系統(tǒng)進行詳細(xì)設(shè)計。 模塊介紹該模塊主要由兩個頁面組成：系統(tǒng)登錄頁面（）和系統(tǒng)主頁面（）。其功能主要是對用戶登錄時進行身份鑒別，然后將用戶導(dǎo)向系統(tǒng)主頁，顯示當(dāng)前用戶名稱，用戶在系統(tǒng)中所處的位置，并向用戶展示系統(tǒng)的主要功能，提示用戶可以進行的操作，同時隨時給予用戶系統(tǒng)的反饋信息。 在該模塊中，（本系統(tǒng)里設(shè)置的次數(shù)為4次），如果超過這個次數(shù)，系統(tǒng)不再顯示登錄頁面，用戶只能從系統(tǒng)里退出后重新進入登錄頁面，此時用戶以前輸入的身份信息都會被清空。本系統(tǒng)中的各個模塊里都用到了Session（會話）對象和Application（應(yīng)用程序）對象。為了實現(xiàn)對用戶登錄嘗試次數(shù)的控制，附：SCRIPT LANGUAGE=VBScript RUNAT=ServerSub Application_OnStart Application(AllowAdds) = NO Application(NumAttempts) = 3 =1End Sub/SCRIPT上面源代碼里，聲明了Application對象的NumAttempts的值，其含義是指允許用戶嘗試登錄的次數(shù)。 模塊中的主要頁面示例1. 系統(tǒng)登錄頁面（）介紹系統(tǒng)登錄頁面（）主要用于對用戶身份進行鑒別。用戶通過填寫表單提供登錄信息，系統(tǒng)根據(jù)用戶所填寫的信息對用戶進行查詢鑒別，如果用戶的身份合法，則將用戶導(dǎo)向系統(tǒng)主頁面（）。另外該頁面指定系統(tǒng)允許用戶嘗試登錄次數(shù)（本系統(tǒng)里設(shè)置的次數(shù)為4次），如果超過這個次數(shù)，系統(tǒng)不再顯示登錄頁面，用戶只能從系統(tǒng)里退出后重新進入登錄頁面，此時用戶以前輸入的信息都會清空。⑴ 頁面截圖如圖51和圖52所示。圖51 系統(tǒng)登錄頁面圖1圖52 系統(tǒng)登錄頁面圖2⑵ 頁面中所用到的數(shù)據(jù)庫組件。 該頁面使用了一個系統(tǒng)用戶信息表（PSLogins）。在系統(tǒng)登錄頁面里要引用該表的ID字段、LoginID字段和Password字段進行用戶身份鑒別，如果用戶身份通過驗證，頁面還要紀(jì)錄用戶的詳細(xì)信息，留待以后系統(tǒng)中的其他頁面使用。⑶ 頁面中所用到的表單元素如表51所示。表51 系統(tǒng)登錄頁面中的表單元素名 稱表單元素類型Value 值含 義UsernameText用戶填寫用戶登陸名PasswordPassword用戶填寫用戶登陸密碼LoginSubmit登錄提交表單ResetReset重設(shè)重設(shè)表單⑷ ：首先是向系統(tǒng)編譯器說明腳本語言%@ Page Language=VB %對于系統(tǒng)而言，首先應(yīng)該判斷用戶是否首次進入頁面，是則向用戶顯示登錄窗口，并記錄提交信息的次數(shù)，用字符串變量The Message來記錄顯示系統(tǒng)對用戶各項操作的反饋和信息。%39。 判斷用戶是否提交表單if isempty((Login)) then Session(NumAttempts) = 1TheMessage = 請在下面登錄：(缺省管理員用戶名:40231054,密碼:31415926)39。校驗用戶提交的用戶信息如果用戶已經(jīng)提交信息，則對用戶所提交的信息進行字符串格式判斷，信息中不能含有“，”（單引號字符），然后建立和數(shù)據(jù)庫的連接。elseIf Instr(TheUsername, 39。)=0 and Instr(ThePassword, 39。)=0 and Instr(TheUsername, 39。)=0 _ and Instr(ThePassword, 39。)=0 then39。 建立數(shù)據(jù)庫的連接sqlConnection myConnection = new sqlConnction ( ) ； = “user id = sa 。 password = yourpassword ?！?+ “initial catalog = Datasource 。 data soure = my SQLServer 。 Connect Timeout = 3.” 。 ( ) 。TheUsername=(Username)ThePassword=(Password)系統(tǒng)登錄頁面有3種可能的狀態(tài)：（1）用戶第一次進入頁面。（2）用戶已經(jīng)提交登錄信息，系統(tǒng)頁面做出反饋。（3）用戶已經(jīng)多次提交登錄信息，并超過了系統(tǒng)設(shè)置的用戶登陸最大嘗試次數(shù)，則根據(jù)系統(tǒng)設(shè)置可以停止用戶登錄。然后根據(jù)用戶提供的信息，在數(shù)據(jù)庫表里進行匹配查詢set RSLogin = (select * from PSLogins where amp。 LoginID = 39。 _ amp。 TheUsername amp。 39。 and amp。 Password = 39。 amp。 ThePassword amp。 39。)如果無法匹配，則紀(jì)錄用戶登錄的次數(shù)if thenSession(NumAttempts) = Session(NumAttempts) + 1，則意味著系統(tǒng)的對登錄次數(shù)不作限制，生成反饋信息如下：登錄不成功，請重試:if Application(NumAttempts) = 0 thenTheMessage = 登錄不成功，請重試:如果Application對象的NumAttempts的值不為0，則對目前登錄次數(shù)和Application對象的NumAttempts的值中指定的登錄系數(shù)作比較，并提示當(dāng)前用戶。elseif Session(NumAttempts) Application(NumAttempts) thenTheMessage = 登錄不成功，登錄次數(shù)已滿，無法重試elseTheTimes=Application(NumAttempts)Session(NumAttempts)+1TheMessage = 登錄不成功，還有 amp。 TheTimes amp。 次機會，請重試:end if如果登錄成功，則記錄下當(dāng)前用戶的詳細(xì)信息，并導(dǎo)向系統(tǒng)主頁面。elseSession(ID) = RSLogin(LoginID) Application(ID) = RSLogin(LoginID) Session(Name) = RSLogin(Name) Session(Password) = RSLogin(Password) Session(Department) = RSLogin(Department) Session(EmailAddress)=RSLogin(EmailAddress) Session(Position)=RSLogin(Position) Session(HomePhone)=RSLogin(HomePhone) Session(MobilePhone)=RSLogin(MobilePhone) Session()=RSLogin() Session(Birthday)=RSLogin(Birthday) Session(HomeAddress)=RSLogin(HomeAddress) Session(IsSystemManager)=RSLogin(IsSystemManager) end ifelseTheMessage=用戶名或者密碼輸入不合格式 end ifend if在HTML頁面里，從而決定是否顯示用戶登錄頁面。% if TheMessage 登錄不成功，登錄次數(shù)已滿，無法重試 then % 員工信息管理模塊 模塊介紹 對于一個擁有數(shù)萬師生的高校來說，如果按照以前傳統(tǒng)的方式對員工的信息進行管理，首先需要動用大量人員浪費很多時間去進行信息調(diào)查、統(tǒng)計、整理，然后統(tǒng)一歸檔入庫保存起來；其次，一旦某個員工想要查詢其他員工的信息，也要花費大量的時間和精力；而且，如果某個員工想要修改自己的個人信息，還要得到專門負(fù)責(zé)的人員的許可，來回申請并提交他的個人信息進行審批，既費時又費力；最后，負(fù)責(zé)管理員工信息的人員要統(tǒng)一管理整個學(xué)校員工的信息，并根據(jù)需要及時的對其進行增加、刪除、修改、查詢，其工作量之大不言而喻。針對以上問題，本系統(tǒng)設(shè)計了校內(nèi)員工信息管理模塊。該模塊主要負(fù)責(zé)對西安科技大學(xué)所有校內(nèi)員工的信息進行統(tǒng)一管理。其主要功能描述如下所示：1. 按照不同的排序方式，對我校所有在校員工的信息進行查詢。2. 選擇我校某一具體院系，對該院系的所有員工的信息進行查詢。3. 選擇我校某一員工，對該員工的信息進行查詢。4. 用戶可以隨時修改自己的個人信息。5. 系統(tǒng)管理員可以隨時添加任一新員工信息，并對某一員工的信息進行必要的修改、刪除。對于普通用戶來說，進入該系統(tǒng)的員工信息主頁后，根據(jù)頁面提示，選擇自己想要查詢的員工信息進行查詢，并可以隨時修改自己的個人信息，信息修改完畢之后，系統(tǒng)會直接將用戶新錄入的信息保存到系統(tǒng)數(shù)據(jù)庫中并替換掉數(shù)據(jù)庫中用戶以前填寫的信息。這樣一來，用戶可以隨時隨地方便的查詢所有員工的信息。修改個人信息時也不用先申請管理員的許可，并將自己的修改信息提交進行審批。這就給用戶本人簡化了操作流程并節(jié)省了大量的時間，提高了查詢的效率。對于系統(tǒng)管理員來說，可以隨時錄入新員工信息，并對所有員工的信息進行增加、刪除、修改、查詢，并在系統(tǒng)數(shù)據(jù)庫中及時更新用戶信息，并立即返回到用戶的查詢界面中。 這樣一來，就代替了以前的有紙化辦公，不僅簡化了辦公流程，節(jié)省了大量的人力、物力和財力，而且大大的減輕了系統(tǒng)管理員的工作量，提高了辦公效率。 模塊的頁面邏輯結(jié)構(gòu)示意圖具體圖形如圖53所示修改個人信息頁面管理員管理頁面添加新用戶頁面圖53 員工信息管理模塊頁面邏輯結(jié)構(gòu)示意圖 模塊中的主要頁面示例1. 員工信息管理主頁（）介紹在此頁面中，用戶可以通過選擇不同的單選按鈕，進行相應(yīng)的用戶信息查詢或執(zhí)行相應(yīng)的用戶信息查詢或執(zhí)行相應(yīng)的管理功能。此頁面的具體功能描述如下所示：① 按照不同的排序查詢校內(nèi)所有員工的記錄。② 選擇查詢某一個部門全部員工的記錄。③ 選擇查詢某一個員工的記錄。④ 選擇修改用戶自己的員工記錄。⑤ 選擇以不同的排序方式進入系統(tǒng)管理員選項。（1）頁面截圖如圖54所示。（2）頁面中所用到的數(shù)據(jù)庫組件。 該頁面一共使用了三個數(shù)據(jù)庫組件：① 包含所有員工信息的系統(tǒng)用戶信息表（PSLogins），在員工信息主頁里要引用該表的用戶姓名字段、院系字段、職位字段和生日字段。② 學(xué)校院系信息表（Departments），在員工信息主頁里要引用該表的院系ID字段和院系名稱字段。③ 員工信息職位表（Positions），在員工信息主頁里要引用該表的職位ID字段和職位名稱字段。圖54 員工信息管理主頁（3）頁面中所用到的表單元素如表52所示。表52 員工信息管理主頁中的表單元素名稱表單元素類型Value值含義SendToRadioALLEmployeeInformation查詢所有員工信息DepartmentEmployeeInformation查詢某院系員工信息OneEmployeeInformation查詢某個員工信息