【文章內(nèi)容簡介】 文件。例如， Web 服務(wù)器上的 Web 應(yīng)用程序的所有者需要有“更改”權(quán)限來查看、更改和刪除應(yīng)用程序的 .ASP 文件。但是，訪問該應(yīng)用程序的公共用戶應(yīng)僅被授予“只讀”權(quán)限，以便將其限制為只能查看而不能更改應(yīng)用程序的 Web頁。 為了充分保護(hù) ASP 應(yīng)用程序，一定要在應(yīng)用程序的 文件上為適當(dāng)?shù)挠脩艋蛴脩艚M設(shè)置 NTFS 文件權(quán)限。如果 包含向?yàn)g覽器返回信息的命令而您沒有保護(hù) 文件，則信息將被返回給瀏覽器，即便應(yīng)用程序的其他文件被保護(hù)。 注意一定要對應(yīng)用程序的文件應(yīng)用統(tǒng)一的 NTFS 權(quán)限。例如，如果您不小心過度限制了一應(yīng)用程序需要包含的文件的 NTFS 權(quán)限，則用戶可能無法查看或運(yùn)行該應(yīng)用程序。為了防止此類問題，在為您的應(yīng)用程序分配 NTFS 權(quán)限之前應(yīng)仔細(xì)計(jì)劃。 (2) Web 服務(wù)器權(quán)限 基于 WEB 的物業(yè)管理系統(tǒng) — 客戶服務(wù)管理 第 12 頁 共 42 頁 您可以通過配置您的 Web 服務(wù)器的權(quán)限來限制所有用戶查看、運(yùn)行和操作您的 ASP 頁的方式。不同于 NTFS 權(quán)限提供的控制特定用 戶對應(yīng)用程序文件和目錄的訪問方式， Web 服務(wù)器權(quán)限應(yīng)用于所有用戶，并且不區(qū)分用戶帳號的類型。對于要運(yùn)行您的 ASP 應(yīng)用程序的用戶，在設(shè)置 Web 服務(wù)器權(quán)限時(shí)，必須遵循下列原則： 對包含 .ASP 文件的虛擬目錄允許 \讀 \或 \腳本 \權(quán)限。 對 .ASP 文件和其他包含腳本的文件（如 .htm 文件等）所在的虛目錄允許“讀”和“腳本”權(quán)限。 對包含 .ASP 文件和其他需要 \執(zhí)行 \權(quán)限才能運(yùn)行的文件（如 .exe 和 .dll 文件等）的虛目錄允許“讀”和“執(zhí)行”權(quán)限。 (3) 腳本映射文件 應(yīng)用程序的腳本映射保 證了 Web 服務(wù)器不會(huì)意外地下載 .ASP 文件的源代碼。例如，即使您為包含了某個(gè) .ASP 文件的目錄設(shè)置了 \讀 \權(quán)限，只要該 .ASP 文件隸屬于某個(gè)腳本映射應(yīng)用程序，那么您的 Web 服務(wù)器就不會(huì)將該文件的源代碼返回給用戶。 (4) Cookie 安全性 ASP 使用 SessionID cookie 跟蹤應(yīng)用程序訪問或會(huì)話期間特定的 Web 瀏覽器的信息。這就是說，帶有相應(yīng)的 cookie的 HTTP 請求被認(rèn)為是來自同一 Web 瀏覽器。 Web 服務(wù)器可以使用 SessionID cookies 配置帶有用戶特定會(huì)話信息的 ASP 應(yīng)用 程序。例如，如果您的應(yīng)用程序是一個(gè)允許用戶選擇和購買 CD 唱盤的聯(lián)機(jī)音樂商店，就可以用 SessionID 跟蹤用戶漫游整個(gè)應(yīng)用程序時(shí)的選擇。 為了防止計(jì)算機(jī)黑客猜中 SessionID cookie 并獲得對合法用戶的會(huì)話變量的訪問， Web服務(wù)器為每個(gè) SessionID 指派一個(gè)隨機(jī)生成號碼。每當(dāng)用戶的 Web 瀏覽器返回一個(gè)SessionID cookie 時(shí)，服務(wù)器取出 SessionID 和被賦予的數(shù)字，接著檢查是否與存儲在服務(wù)器上的生成號碼一致。若兩個(gè)號碼一致，將允許用戶訪問會(huì)話變量。這一技術(shù)的有效性在于被賦予的 數(shù)字的長度（ 64 位），此長度使計(jì)算機(jī)黑客猜中 SessionID 從而竊取用戶的活動(dòng)會(huì)話的可能性幾乎為 0。 截獲了用戶 sessionID cookie 的計(jì)算機(jī)黑客可以使用此 cookie 假冒該用戶。如果 ASP應(yīng)用程序包含私人信息，信用卡或銀行帳戶號碼，擁有竊取的 cookie 的計(jì)算機(jī)黑客就可以在應(yīng)用程序中開始一個(gè)活動(dòng)會(huì)話并獲取這些信息。您可以通過對您的 Web 服務(wù)器和用戶的瀏基于 WEB 的物業(yè)管理系統(tǒng) 客戶服務(wù)管理 中南林業(yè)科技大學(xué)工學(xué)學(xué)士畢業(yè)設(shè)計(jì)說明書 第 13 頁 共 42 頁 覽器間的通訊鏈路加密來防止 SessionID cookie 被截獲。 (5) 使用身份驗(yàn)證機(jī)制保護(hù)被限制的 ASP 內(nèi)容 您可以要求每個(gè)試圖訪問 被限制的 ASP 內(nèi)容的用戶必須要有有效的 Windows NT 帳號的用戶名和密碼。每當(dāng)用戶試圖訪問被限制的內(nèi)容時(shí)， Web 服務(wù)器將進(jìn)行身份驗(yàn)證，即確認(rèn)用戶身份，以檢查用戶是否擁有有效的 Windows NT 帳號。 Web 服務(wù)器支持以下幾種身份驗(yàn)證方式：基本身份驗(yàn)證提示用戶輸入用戶名和密碼。 Windows NT 請求 /響應(yīng)式身份驗(yàn)證從用戶的 Web 瀏覽器通過加密方式獲取用戶身份信息。 然而， Web 服務(wù)器僅當(dāng)禁止匿名訪問或 Windows NT 文件系統(tǒng)的權(quán)限限制匿名訪問時(shí)才驗(yàn)證用戶身份。 (6) 保護(hù)元數(shù)據(jù)庫 訪問元數(shù)據(jù) 庫的 ASP 腳本需要 Web 服務(wù)器所運(yùn)行的計(jì)算機(jī)的管理員權(quán)限。在從遠(yuǎn)程計(jì)算機(jī)上運(yùn)行這些腳本時(shí)，須經(jīng)已通過身份驗(yàn)證的連接，如使用 Windows NT 請求 /響應(yīng)驗(yàn)證方式進(jìn)行連接。應(yīng)該為管理級 .ASP 文件創(chuàng)建一個(gè)服務(wù)器或目錄并將其目錄安全驗(yàn)證方式設(shè)置為Windows NT 請求 /響應(yīng)式身份驗(yàn)證。目前，僅 Microsoft Inter Explorer version 或更高版本支持 Windows NT 請求 /響應(yīng)式身份驗(yàn)證。 (7) 使用 SSL 維護(hù)應(yīng)用程序的安全 Secure Sockets Layer(SSL) 協(xié)議作為 Web 服務(wù)器安全特性，提供了一種安全的虛擬透明方式來建立與用戶的加密通訊連接。 SSL 保證了 Web 內(nèi)容的驗(yàn)證，并能可靠地確認(rèn)訪問被限制的 Web 站點(diǎn)的用戶的身份。通過 SSL，您可以要求試圖訪問被限制的 ASP 應(yīng)用程序的用戶與您的服務(wù)器建立一個(gè)加密連接；以防用戶與應(yīng)用程序間交換的重要信息被截取。 如果您從位于沒有保護(hù)的虛擬根目錄中的 .ASP 文件中包含了位于啟用了 SSL 的目錄中的文件，則 SSL 將不被應(yīng)用于被包含文件。因此，為了保證應(yīng)用 SSL，應(yīng)確保包含及被包含的文件都位于啟用了 SSL 的目 錄中。 控制對您的 ASP 應(yīng)用程序訪問的一種十分安全的方法是要求用戶使用 客戶資格登錄?？蛻糍Y格是包含用戶身份信息的數(shù)字身份證，它的作用與傳統(tǒng)的諸如護(hù)照或駕駛執(zhí)照等身份證明相同。用戶通常從委托的第三方組織獲得客戶資格，第三方組織在發(fā)放資格證之前確認(rèn)用戶的身份信息。（通常，這類組織要求姓名、地址、電話號碼及所在組織名稱；此類信息基于 WEB 的物業(yè)管理系統(tǒng) — 客戶服務(wù)管理 第 14 頁 共 42 頁 的詳細(xì)程度隨給予的身份等級而異。）每當(dāng)用戶試圖登錄到需要資格驗(yàn)證的應(yīng)用程序時(shí)，用戶的 Web 瀏覽器會(huì)自動(dòng)向服務(wù)器發(fā)送用戶資格。如果 Web 服務(wù)器的 Secure Sockets Layer (SSL)資格映射特性配置正確，那么服務(wù)器就可以在許可用戶對 ASP 應(yīng)用程序訪問之前對其身份進(jìn)行確認(rèn)。 作為 ASP 應(yīng)用程序開發(fā)人員，您可以編寫腳本來檢查資格是否存在并讀取資格字段。例如，您可以從資格證明中訪問用戶名字段和公司名字段。 Active Server Pages 在 Request對象的 ClientCertificate 集合中保存資格信息。必須將 Web 服務(wù)器配置為接受或需要客戶資格，然后才能通過 ASP 處理客戶資格；否則， ClientCertificate 集合將為空。 (8) 創(chuàng)建事務(wù)性腳本 商業(yè)應(yīng) 用程序常常需要具有在事務(wù)內(nèi)部運(yùn)行腳本和組件的能力。事務(wù)是一種服務(wù)器操作，即使該操作包括很多步驟（例如，定貨、查看存貨、付帳等），也只能整體返回操作是成功還是失敗。用戶可以創(chuàng)建在事務(wù)內(nèi)部運(yùn)行的 ASP 腳本，如果腳本的任何一部分失敗，整個(gè)事務(wù)都將會(huì)終止。 ASP 事務(wù)處理是以 Microsoft Transaction Server(MTS) 為基礎(chǔ)的。 Microsoft Transaction Server(MTS)是一個(gè)事務(wù)處理系統(tǒng)，用于開發(fā)、配置和管理高性能、可分級的、有魯棒性的 Inter 和 Intra 服務(wù)器應(yīng)用程序。 Transaction Server 為開發(fā)分布式的，基于組件的應(yīng)用程序提供了一個(gè)應(yīng)用程序設(shè)計(jì)模型。它也為配置和管理這些應(yīng)用程序提供了一個(gè)運(yùn)行環(huán)境。創(chuàng)建事務(wù)性腳本的功能內(nèi)置在 Inter Information Server 和 Personal Web Server 中。如果您安裝了 Microsoft Transaction Server，就可以將組件打包，以使組件在事務(wù)內(nèi)部運(yùn)行。 (9) 編寫事務(wù)事件 腳本本身不能決定事務(wù)是成功還是失敗。但是，可以編寫提交或終止事務(wù)時(shí)被調(diào)用的事件。例 如，假設(shè)有一個(gè)確認(rèn)銀行帳戶的腳本，并且您需要針對事務(wù)的不同狀態(tài)將不同的頁返回給用戶，那么就可以使用 OnTransactionCommit 和 OnTransactionAbort 事件來編寫對用戶的不同響應(yīng)。 (10) 對象作用域 一般情況下，不要將從 MTS 組件中創(chuàng)建的對象存儲在 ASPApplication 或 Session 對象基于 WEB 的物業(yè)管理系統(tǒng) 客戶服務(wù)管理 中南林業(yè)科技大學(xué)工學(xué)學(xué)士畢業(yè)設(shè)計(jì)說明書 第 15 頁 共 42 頁 中。 MTS 對象在事務(wù)完成后消失。因?yàn)?Session 對象和 Application 對象是為在不同 ASP 頁之間使用的對象實(shí)例設(shè)計(jì)的，所以不要用它們保存在事務(wù)結(jié)束時(shí)即被釋放的對象。 ASP 腳本 是已聲名的事務(wù)的根，即起始點(diǎn)。任何事務(wù)性 ASP 頁所使用的 MTS 對象都被認(rèn)為是事務(wù)的一部分。當(dāng)事務(wù)完成后，在頁中使用的 MTS 對象將消失，其中包括存儲在 Session或 Application 對象中的對象。在此之后，從另一個(gè)事務(wù)性頁中調(diào)用會(huì)話作用域或應(yīng)用程序作用域?qū)ο蟮膰L試都將失敗。 (11) 事務(wù)排隊(duì) 從一個(gè)遠(yuǎn)程服務(wù)器對數(shù)據(jù)庫的更新可能因?yàn)榫W(wǎng)絡(luò)延遲或故障而導(dǎo)致事務(wù)延遲或終止。因?yàn)槭聞?wù)的所有部分都必須提交，所以應(yīng)用程序?qū)⒖赡軖炱?，等待遠(yuǎn)程服務(wù)器的提交或終止消息，也可能由于無法發(fā)送數(shù)據(jù)庫更新而導(dǎo)致事務(wù)被放棄。 對于必須同時(shí)完成的更新，正確的做法是在事務(wù)的所有參與者都能夠提交之前，終止事務(wù)或推遲完成事務(wù)。例如，航空公司的定票程序應(yīng)該同時(shí)完成對客戶的銀行帳號計(jì)入借方和對航空公司的銀行帳戶計(jì)入貸方。如果一個(gè)更新屬于事務(wù)整體的一部分，但可能晚于其他更新，您可能不希望讓客戶等待整個(gè)更新過程的完成。例如，機(jī)票預(yù)定事務(wù)可能也要向食品供應(yīng)商發(fā)送食品訂單或更新客戶的旅程津貼。這些操作雖然也必須完成，但可以晚一些。 Microsoft Message Queue Server 使您能夠?qū)⒁粋€(gè)或一組更新捆綁到一個(gè)事務(wù)性消息中送給遠(yuǎn) 程服務(wù)器。 Message Queue Server 保證更新將被發(fā)送給遠(yuǎn)程服務(wù)器，即使目前網(wǎng)絡(luò)不可用。您的應(yīng)用將收到一個(gè)提交消息，從而可以繼續(xù)處理事務(wù)。 SQL 結(jié)構(gòu)化查詢語言基礎(chǔ) 為了建立交互站點(diǎn) ,需要使用數(shù)據(jù)庫來存儲來自訪間者的信息。例如建立一個(gè)職業(yè)介紹服務(wù)的站點(diǎn) ,就需要存儲諸如個(gè)人簡歷、感興趣的工作等等這樣的信息。創(chuàng)建動(dòng)態(tài)網(wǎng)頁也需要使用數(shù)據(jù)庫 ,如果想顯示符合來訪者要求的的數(shù)據(jù)庫記錄 ,就需要從數(shù)據(jù)庫中取出這份工作的信息。那么將會(huì)發(fā)現(xiàn) ,在許多情況下需要使用數(shù)據(jù)庫。 SQL 是英文 Structured Query Language 的縮寫 ,意思為結(jié)構(gòu)化查詢語言。 SQL 語言的主要功能就是同各種數(shù)據(jù)庫建立聯(lián)系 ,進(jìn)行溝通。按照 ANSI(美國國家標(biāo)準(zhǔn)協(xié)會(huì) )的規(guī)定 ,SQL被作為關(guān)系型數(shù)據(jù)庫管理系統(tǒng)的標(biāo)準(zhǔn)語言。 SQL 語句可以用來執(zhí)行各種各樣的操作 ,例如更新數(shù)據(jù)庫中的數(shù)據(jù) ,從數(shù)據(jù)庫中提取數(shù)據(jù)等。目前 ,絕大多數(shù)流行的關(guān)系型數(shù)據(jù)庫管理系統(tǒng) ,基于 WEB 的物業(yè)管理系統(tǒng) — 客戶服務(wù)管理 第 16 頁 共 42 頁 如 Oracle , Sybase ,Microsoft SQL Server , Access 等都采用了 SQL 語言標(biāo)準(zhǔn)。雖然很多數(shù)據(jù)庫都對 SQL 語句進(jìn)行了再開發(fā)和擴(kuò)展 ,但是包括 select , Insert , Update , Delete , Create 以及 Drop 在內(nèi)的標(biāo)準(zhǔn)的 SQL 命令仍然可以被用來完成幾乎所有的數(shù)據(jù)庫操作。 在 ASP中 ,無論何時(shí)你要訪間一個(gè)數(shù)據(jù)庫 ,你就要使用 SQL 語言。因此 ,掌握好 SQL對 ASP編程是非常重要的。下面是常用數(shù)據(jù)庫的操作語句。 1. 用 SQL 從表中取記錄 Select 語句。 2. 用 SQL 創(chuàng)建新表 Create table 語句 3. 用 SQL 插入數(shù)據(jù) Insert 語句 4. 用 SQL 更新記錄 Update 語句 5. 用 SQL 刪除記錄 Delete 語句 6. 用 SQL 刪除表格 Drop table 語句 3 建立 ACCESS 數(shù)據(jù)庫連接 ACCESS 數(shù)據(jù)庫是屬于微軟 OFFICE 中的一個(gè)組件，是一個(gè)典型的開放式數(shù)據(jù)庫系統(tǒng)，同時(shí)也是世界上最流行的數(shù)據(jù)庫管理軟件之一。數(shù)據(jù)庫的連接可以才用數(shù)據(jù)配置源名（ Data Source Name,DNS）和未配置數(shù)據(jù)源名（ DNS— less）兩種方法，而未配置數(shù)據(jù)源名的數(shù)據(jù)庫連接又有 ODBC 和 OLE DB 兩種方式