【文章內容簡介】 務器端會創(chuàng)建一個用戶的私有變量Session(“UserID”)來保存用戶的ID。在本系統(tǒng)的其他模塊，經常需要用到此私有變量判斷用戶狀態(tài)是否失效、用戶是否為管理員。最后， 。例程31用戶登錄模塊!include file=!include file=!include file=!include file=%Dim strSQL,objRSSet objRS=()39。取得用戶文件名、密碼Dim UserName,UserPassword39。過濾SQL字符，防止SQL漏洞注入UserName=ChkSQL(Request(UserName)) ‘使用md5()函數加密密碼UserPassword=md5(Request(UserPassword))39。在數據庫中查找用戶strSQL=SELECT * FROM [UserInfo] WHERE UI_Name_S=39。amp。UserNameamp。39。 strSQL,objConn,1,339。判斷用戶是否存在39。若用戶不存在則通過GetErr()函數提交并顯示錯誤代碼If Or Then Set objRS=Nothing GetErr(3) Else 39。若用戶存在，則檢測用戶密碼的正誤 If objRS(UI_Password_S)UserPassword Then Set objRS=Nothing GetErr(4) End IF 39。判斷用戶是否被鎖定 If objRS(UI_IsLocked_B)=True Then Set objRS=Nothing GetErr(5) End If 39。建立用戶私有變量 =30 Session(UserID)=objRS(UI_ID_N) 39。每當有用戶登錄則刷新數據庫，判斷是否有自行車的預訂超時或超期未還 strSQL=SELECT TAC_ReserveTime_D,TAC_StartTime_D FROM [Tenancy]”amp。_” WHERE TAC_StartTime_D IS NULL strSQL,objConn,1,3 For i=1 To 39。有超時的預訂則刪除 If IsNull(objRS(TAC_StartTime_D))=True Andamp。_ DateDiff(h,objRS(TAC_ReserveTime_D),Now())12 Then End If Next strSQL=SELECT * FROM [Tenancy] WHERE TAC_StartTime_D”amp。_” IS NOT NULL AND TAC_EndTime_D IS NULL strSQL,objConn,1,3 Dim MsgUser For i=1 To 39。有超期租賃的則標注 If DateDiff(d,DateAdd(d,objRS(TAC_Lease_N),amp。_objRS(TAC_StartTime_D)),Now())=objRS(TAC_Lease_N) Then strSQL=UPDATE [Tenancy] SET TAC_TimeOut_B=True,”amp。_”TAC_MsgUser_B=True WHERE TAC_ID_N=amp。objRS(TAC_ID_N) (strSQL) End If Next 39。跳轉回主頁 End If%自行車瀏覽模塊的功能是讓用戶找到自己感興趣的自行車，找到后可以進行預定。實現后的效果如圖35所示。圖35 自行車流量模塊效果圖此模塊是為了顯示用戶的預定、租賃關系與租賃關系提醒所設計的。使用此模塊，用戶可以查看自己預定了哪些自行車，租了哪些自行車，哪些自行車將要到期、哪些自行車已超過了歸還期限。在此模塊中通過Select Case判斷自行車的狀態(tài)后，再使用If和DateDiff函數結合判斷自行車的狀態(tài)是將要到期還是已經超期。實現后的效果如圖36所示圖36 用戶信息模塊設計此模塊的設計也運用了頁面與代碼的分離技術。用戶可以通過此功能模塊察看和修改自己的資料。如果是管理員的話，則可以修改用戶的狀態(tài)。此模塊的表單域中包含三個隱含的域：uid、IsModify和ChangeBy。uid傳遞的是用戶ID； ChangeBy是根據用戶是否為管理員來判斷是否要更新用戶基本信息外的屬性實現后的效果如圖37。圖37用戶資料管理模塊實現效果圖 查看用戶租賃關系模塊設計此模塊的功能是讓用戶查看現存的租賃關系，包括預訂和租賃?？梢缘玫阶馄诤妥饨鸬男畔ⅰＨ绻且怨芾韱T身份查看租賃關系，則可以連接到起租與結算的頁面，執(zhí)行相應的操作。在此模塊中，會通過Session(“UserID”)來讀取數據庫中的用戶信息，判斷用戶是否是管理員。？，如果不是管理員則終止操作。而查看用戶租賃關系模塊是用戶與管理員公用的模塊，會使不是管理員的用戶無法繼續(xù)進行操作。此模塊可以計算出用戶所要支付的實際租金，便于管理員對租賃收費進行管理。實現后的效果如圖38圖38 查看用戶租賃關系實現效果圖此模塊的功能是用戶預訂自行車。當用戶預訂自行車后，預定的狀態(tài)會保存12小時。若12小時內用戶沒有去起租自行車，則預訂會被刪除。如果用戶不是管理員且有超期未還的自行車，則不可以預訂自行車，直到超期未還的自行車歸還為止。此模塊實現效果圖如圖39和圖310。圖39 用戶預定自行車圖310 用戶預定自行車成功此模塊的作用是注銷用戶的登錄。其原理是結束用戶的私有變量Session(“UserID”)。%‘結束用戶私有變量 ‘重定向網頁%第四章 系統(tǒng)通用功能模塊和管理界面 以下是本系統(tǒng)的一些通用文件。 統(tǒng)一格式的頁面頭 統(tǒng)一格式的頁面尾 頁面轉換 檢查用戶是否具有管理權限 根據錯誤代碼提取錯誤信息及解決對策 數據庫聯接 用戶密碼加密 自行車類型導航條 輸出操作結果信息 用戶信息 頁面風格INC\ 通用Javascript腳本(1)管理界面的設計采用了框架的結構，可以根據Request(“Type”)獲取用戶需要顯示的管理頁面。這樣的設計可以使用戶使用清晰明了，能快速找出所要使用的功能。，所在的框架名稱為leftFrame。而mainFrame顯示的是管理選項頁面。在每個管理界面當中均采用!include file=””，這種設計是為了檢測用戶是否擁有管理權限，防止沒有管理權限的用戶非法篡改系統(tǒng)數據。在管理界面中包含這幾個模塊，系統(tǒng)信息的查看與修改，用戶管理，自行車管理，起租與結租模塊。第五章 系統(tǒng)要點、難點系統(tǒng)的安全性，在傳統(tǒng)經典的C/S架構中就已經得到了充分的重視，自從電子商務誕生以來，新興的B/S架構系統(tǒng)安全性也成為了一個新興的問題。安全性問題的產生，可能很多讀者認為多與網絡系統(tǒng)與服務器有關，類似于DoS之類的名詞耳熟能詳。殊不知在系統(tǒng)開發(fā)的過程中，卻隱藏著更多更具有破壞性的安全問題。SQL漏洞注入是一個很簡單，同時又很復雜的問題。簡單的說，SQL漏洞注入是通過瀏覽器提交特殊的代碼，從而收集服務器、程序或數據庫信息。而獲取數據庫中的信息，又往往是實行SQL漏洞注入者的主要目的。在程序當中，很可能出現類似于a href=?id=1顯示用戶/a這樣的html代碼。如果把“?id=1”改成“?id=1 and ui_isadmin_b=true”，并在瀏覽器地址欄里提交，如果程序中沒有相應的措施，那么這個SQL漏洞注入就算是成功了。在SQL語言當中，單引號“’”是格外需要注意的。利用好單引號，可以構造出極具攻擊性漏洞注入，例如在程81的文本框中輸入“1 or ui_name_s like 39。%%39?！保敲闯绦蚓蜁⑺杏脩舳剂_列出來。所以在此案例中，使用Replace函數過濾單引號是非常常見的。大多數故意入侵，都是針對程序漏洞進行的。前節(jié)的SQL漏洞注入。對于入侵的防范，大體可以依據以下幾條消除：(1)在頁面中傳遞數據時，盡量使用數值類型的數據傳遞，因為數值類型的數據比較好判斷；(2)在程序設計時，判斷出非法的數據類型后，要及時終止程序的運行并提交錯誤，最好還能