【文章內(nèi)容簡介】 ss vchar(100) null 當(dāng)前住址 PhoneNum vchar(20) null 電話號碼 Status vchar(10) null 政治面貌 Principalship vchar(50) null 行政職務(wù) Others vchar(5000) null 其他相關(guān)信息 表 34 證書表（ Certificate 表） 數(shù)據(jù)字段 數(shù)據(jù)類型 是否為空 數(shù)據(jù)名稱 CertID Int not null 證書 ID .................................................................... （主鍵） UID Int not null 用戶 ID（外鍵） CertName vchar(50) not null 證書名字 CertTime Datetime null 獲得時間 CertPicture vchar(200) null 證書照片 表 35論文表（ Paper表） 數(shù)據(jù)字段 數(shù)據(jù)類型 是否為空 數(shù)據(jù)名稱 PaperID Int not null 論文 ID .................................................................... （主鍵） UID Int not null 用戶 ID（外鍵） PaperTitle vchar(100) not null 論文題目 PaperLevel vchar(10) null 論文級別 PaperTime Datetime null 發(fā)表時間 表 36獎勵表（ Encourage 表） 數(shù)據(jù)字段 數(shù)據(jù)類型 是否為空 數(shù)據(jù)名稱 EncID Int not null 獎勵 ID .................................................................... （主鍵） UID Int not null 用戶 ID .................................................................... （外鍵） 第 9 頁 共 27 頁 EncName vchar(50) not null 獎勵名稱 EncLevel vchar(10) null 獎勵級別 EncTime vchar(50) null 獎勵時間 EncRank vchar(10) null 排名 4. 系統(tǒng)主要功能模塊的實現(xiàn) 登錄 模塊 分級用戶 本系統(tǒng)采用了分級用戶原則，所謂分級用戶，就是將不同的用戶劃分成不同的等級，他們的權(quán)限不同，功能也各不相同。系統(tǒng)一共設(shè)定了三類用戶，按權(quán)限級別由高到低依次是：系統(tǒng)管理員、院系領(lǐng)導(dǎo)、教師用戶。用戶首次 登錄 時使用管理員為其分配的 賬號 和密碼進(jìn)入系統(tǒng)，系統(tǒng)通過登錄頁面獲取用戶輸入的用戶名和口令，然后用戶輸入的用戶名和口令與數(shù)據(jù)表中存放的數(shù)據(jù) (經(jīng)過加密的數(shù)據(jù) )進(jìn)行比較。以此判斷用戶的合法性和級別。 口令的 安全性 由于系統(tǒng)的入口是 比較容易被黑客攻擊的地方，為了提高系統(tǒng)的安全性，本系統(tǒng)采用了兩種安全機(jī)制： HASH 算法（加強(qiáng)口令安全性）與驗證碼（防止暴力破解口令） 。 (1) HASH 算法 為保證用戶口令在網(wǎng)絡(luò)傳輸過程當(dāng)中的安全性和完整性， 系統(tǒng)采用 了 MD5 摘要算法 ，即 MessageDigest Algorithm 5（信息 摘要算法）， MD5 的最大作用在于，將不同格式的大容量文件信息在用數(shù)字簽名軟件來簽署私人密鑰前 壓縮 成一種保密的格式，關(guān)鍵之處在于 —— 這種 壓縮 是不可逆的。 MD5 將任意長度的 “ 字節(jié)串 ” 變換成一個 128bit 的大 整數(shù)，并且它是一個不可逆的字符串變換算法，換句話說就是，即使你看到源程序和算法描述，也無法將一個 MD5 的值變換回原始的字符串，從數(shù)學(xué)原理上說，是因為原始的字符串有無窮多個，這有點(diǎn) 像 不存在反函數(shù)的數(shù)學(xué)函數(shù)。 MD5 還廣泛用于加密和解密技術(shù)上，在很多操作系統(tǒng)中，用戶的密碼是以 MD5值（或類似的其它算法）的方式保存的， 用戶 Login 的時候，系統(tǒng)是把用戶輸入的密碼計算成 MD5 值，然后再去和系統(tǒng)中保存的 MD5 值進(jìn)行比較，而系統(tǒng)并不“ 知道 ” 用戶的密碼是什么。 (2)所謂驗證碼，就是一串隨機(jī)產(chǎn)生的數(shù)字或符號 。系統(tǒng) 生成一 幅 包含驗證碼 圖片，圖片里加上一些干擾象素（防止 OCR），由用戶肉眼識別其中的驗證碼信息，輸入表單提交網(wǎng)站驗證，驗證成功后才能使用某項功能。 第 10 頁 共 27 頁 驗證碼 能 有效防止某一個用戶用特定程序暴力破解方式進(jìn)行不斷的 登錄 嘗試，實際上驗證碼 是現(xiàn) 在很多網(wǎng)站通行的方式 。 雖然 登錄 麻煩一點(diǎn)，但是這個功能還是很有必要，也很重要。 且用戶應(yīng) 盡量使用混雜了數(shù)字、字母、符號在內(nèi)的6 位以上密碼，不要使用諸如 1234 之類的簡單密碼或者與用戶名相同、類似的密碼。 以 免 個人 賬號 被 人盜用給自己帶來不必要的麻煩。 服務(wù)器 Web 頁面安全保護(hù) 由于基于 Web 的 應(yīng)用軟件通常是由服務(wù)器端的相互關(guān)聯(lián)的動態(tài)頁面組成的，這種頁面的訪問一般是借助瀏覽器通過 HTTP 協(xié)議來實現(xiàn)的。如果對 Web 應(yīng)用軟件的頁面不采取一定的保護(hù)措施，則任何人都可以通過得到頁面的地址對頁面進(jìn)行訪問，這樣整個軟件的安全性就非常差。為防止不合法的用戶不經(jīng)過軟件的身份驗證入口而直接訪問軟件的內(nèi)部頁面進(jìn)入系統(tǒng)，必須對用戶的頁面訪問進(jìn)行合法性校驗，本系統(tǒng)是采用如下措施來實現(xiàn)的 : (1)如果用戶是通過軟件系統(tǒng)的身份驗證入口進(jìn)入的合法用戶，就在服務(wù)器端實施完成身份驗證后為此用戶建立會話標(biāo)記，也即 Session 變量， 它可以表明用戶是通過系統(tǒng)校驗的合法用戶。 (2)當(dāng)用戶訪問軟件系統(tǒng)內(nèi)的其它頁面時，首先讀取 Session 變量的值，如果是 true 的話，表明用戶是經(jīng)過身份驗證的合法用戶，否則為對此頁面的非法請求。這種方法的安全性在于，如果用戶未經(jīng)身份驗證系統(tǒng)進(jìn)入軟件，而是直接通過有關(guān)頁面地址直接訪問頁面，則服務(wù)器一端就沒有此次會話的狀態(tài)變量，此頁面的邏輯處理語句就得不到執(zhí)行，瀏覽器僅僅顯示“你沒有權(quán)限訪問此頁”。由于采用服務(wù)器端會話機(jī)制進(jìn)行控制，而且合法會話狀態(tài)在用戶關(guān)閉所有頁面或超過一定的時間限制后，服務(wù)器自動進(jìn)行清除，可 以大大降低不法用戶利用瀏覽器殘余信息進(jìn)入系統(tǒng)的可能性，具有較高的安全性。但是，上述解決方案依然存在漏洞，如果一個用戶以合法身份進(jìn)入他所擁有權(quán)限的子系統(tǒng)，此時一切檢驗都己經(jīng)通過， Session 變量的值，己經(jīng)是 true。這時如果該用戶在瀏覽器中直接輸入他所無權(quán)訪問的頁面地址，則該頁中關(guān)于標(biāo)記變量的值的檢驗都能通，也就是說該用戶進(jìn)入了他所無權(quán)訪問的頁面。為解決這個問題，可以在進(jìn)行上述檢查的同時對用戶的類別進(jìn)行檢查，以判斷用戶所屬的類別是否擁有對此頁面的訪問權(quán)限。 具體實現(xiàn) 登錄 模塊為本系統(tǒng)的唯一入口，所有用戶均 通過 登錄 頁面 登錄 進(jìn)入相應(yīng)的模塊，采用以上提及的安全技術(shù)，且本系統(tǒng)沒有注冊功能，而是由系統(tǒng)管理員為每第 11 頁 共 27 頁 一個校內(nèi)的教師分配 一個 ID 號 和 初始 密碼（ 888888），用戶 登錄 進(jìn)入相應(yīng)的模塊后可以對自己的密碼進(jìn)行修改。 登錄 頁面如圖 41 所示： 圖 41 登錄 界面圖 部分核心代碼如下： protected void Page_Load(object sender, EventArgs e) { Session[ID] = null。 Session[NAME] = null。 Session[POWER] = null。 } protected void imgbtnEnter_Click(object sender, ImageClickEventArgs e) { string name = ()。 string pwd = ()。 string validate = ()。 pwd = (pwd)。 if ((Session[VALIDATECODE] == null) || (Session[VALIDATECODE].ToString() != validate)) { = 你輸入的驗證碼不正確，請核對后重新輸入！ 。 } else if (!(name)) { = 你輸入的用戶名不存在，請核對后重新輸入！ 。 } else if (!(name, pwd)) { = 你輸入的密碼不正確，請核對后重新輸入！ 。 } else { Session[ID] = 第 12 頁 共 27 頁 (name).Tables[0].Rows[0].ItemArray[0].ToString()。 Session[NAME] = (name).Tables[0].Rows[0].ItemArray[1].ToString()。 Session[POWER] = (name).Tables[0].Rows[0].ItemArray[3].ToString()。 if ((Session[POWER]) == 0) { (~/Admin/)。 } if (((Session[POWER]) == 1) || ((Session[POWER]) == 2)) { (~/Common/)。 } else { (~/)。 } } } 系統(tǒng)管理員模塊 本模塊的主要功能為修改管理員個人密碼和用戶（包括：教師用戶和院系領(lǐng)導(dǎo)用戶）添加、修改、刪除及用戶密碼重置（為 888888）的管理。 其界面如圖 42 所示： 圖 42 管理員界面圖 管理員可以修改自己的密碼，部分核心代碼如下： protected void btnOK_Click(object sender, EventArgs e) { int id = (Session[ID])。 string oldPwd = ()。 第 13 頁 共 27 頁 string newPwd = ()。 oldPwd = (oldPwd)。 newPwd = (newPwd)。 if (!(id, oldPwd)) { ()。 } else if (!(id, newPwd)) { ()。 } else { (scriptalert(39。已成功更 改密碼！39。)。=39。39。/script)。 } } 管理員可以對用戶信息進(jìn)行管理，可以添加、修改、刪除用戶。核心代碼如下： // 提交添加用戶 protected void btnOK_Click(object sender, EventArgs e) { string name = ()。 string pwd = (888888)。 。 int power = ()。 string powertype = 。 if(power == 0) { powertype = 系統(tǒng)管理員 。 } else if (power == 1) { powertype = 院系領(lǐng)導(dǎo) 。 } else { powertype = 教師用戶 。 } if ((name)) { = 對不起 ,該用戶名已經(jīng)存在 ,請選擇別的用戶名 !。