【文章內(nèi)容簡介】 文件。例如， Web 服務(wù)器上的 Web 應(yīng)用程序的所有者需要有“更改”權(quán)限來查看、更改和刪除應(yīng)用程序的 .ASP 文件。但是，訪問該應(yīng)用程序的公共用戶應(yīng)僅被授予“只讀”權(quán)限，以便將其限制為只能查看而不能更改應(yīng)用程序的 Web頁。 為了充分保護 ASP 應(yīng)用程序，一定要在應(yīng)用程序的 文件上為適當?shù)挠脩艋蛴脩艚M設(shè)置 NTFS 文件權(quán)限。如果 包含向瀏覽器返回信息的命令而您沒有保護 文件，則信息將被返回給瀏覽器，即便應(yīng)用程序的其他文件被保護。 注意一定要對應(yīng)用程序的文件應(yīng)用統(tǒng)一的 NTFS 權(quán)限。例如，如果您不小心過度限制了一應(yīng)用程序需要包含的文件的 NTFS 權(quán)限，則用戶可能無法查看或運行該應(yīng)用程序。為了防止此類問題，在為您的應(yīng)用程序分配 NTFS 權(quán)限之前應(yīng)仔細計劃。 (2) Web 服務(wù)器權(quán)限 基于 WEB 的物業(yè)管理系統(tǒng) — 客戶服務(wù)管理 第 12 頁 共 42 頁 您可以通過配置您的 Web 服務(wù)器的權(quán)限來限制所有用戶查看、運行和操作您的 ASP 頁的方式。不同于 NTFS 權(quán)限提供的控制特定用 戶對應(yīng)用程序文件和目錄的訪問方式， Web 服務(wù)器權(quán)限應(yīng)用于所有用戶，并且不區(qū)分用戶帳號的類型。對于要運行您的 ASP 應(yīng)用程序的用戶，在設(shè)置 Web 服務(wù)器權(quán)限時，必須遵循下列原則： 對包含 .ASP 文件的虛擬目錄允許 \讀 \或 \腳本 \權(quán)限。 對 .ASP 文件和其他包含腳本的文件（如 .htm 文件等）所在的虛目錄允許“讀”和“腳本”權(quán)限。 對包含 .ASP 文件和其他需要 \執(zhí)行 \權(quán)限才能運行的文件（如 .exe 和 .dll 文件等）的虛目錄允許“讀”和“執(zhí)行”權(quán)限。 (3) 腳本映射文件 應(yīng)用程序的腳本映射保 證了 Web 服務(wù)器不會意外地下載 .ASP 文件的源代碼。例如，即使您為包含了某個 .ASP 文件的目錄設(shè)置了 \讀 \權(quán)限，只要該 .ASP 文件隸屬于某個腳本映射應(yīng)用程序，那么您的 Web 服務(wù)器就不會將該文件的源代碼返回給用戶。 (4) Cookie 安全性 ASP 使用 SessionID cookie 跟蹤應(yīng)用程序訪問或會話期間特定的 Web 瀏覽器的信息。這就是說，帶有相應(yīng)的 cookie的 HTTP 請求被認為是來自同一 Web 瀏覽器。 Web 服務(wù)器可以使用 SessionID cookies 配置帶有用戶特定會話信息的 ASP 應(yīng)用 程序。例如，如果您的應(yīng)用程序是一個允許用戶選擇和購買 CD 唱盤的聯(lián)機音樂商店，就可以用 SessionID 跟蹤用戶漫游整個應(yīng)用程序時的選擇。 為了防止計算機黑客猜中 SessionID cookie 并獲得對合法用戶的會話變量的訪問， Web服務(wù)器為每個 SessionID 指派一個隨機生成號碼。每當用戶的 Web 瀏覽器返回一個SessionID cookie 時，服務(wù)器取出 SessionID 和被賦予的數(shù)字，接著檢查是否與存儲在服務(wù)器上的生成號碼一致。若兩個號碼一致，將允許用戶訪問會話變量。這一技術(shù)的有效性在于被賦予的 數(shù)字的長度（ 64 位），此長度使計算機黑客猜中 SessionID 從而竊取用戶的活動會話的可能性幾乎為 0。 截獲了用戶 sessionID cookie 的計算機黑客可以使用此 cookie 假冒該用戶。如果 ASP應(yīng)用程序包含私人信息，信用卡或銀行帳戶號碼，擁有竊取的 cookie 的計算機黑客就可以在應(yīng)用程序中開始一個活動會話并獲取這些信息。您可以通過對您的 Web 服務(wù)器和用戶的瀏基于 WEB 的物業(yè)管理系統(tǒng) 客戶服務(wù)管理 中南林業(yè)科技大學(xué)工學(xué)學(xué)士畢業(yè)設(shè)計說明書 第 13 頁 共 42 頁 覽器間的通訊鏈路加密來防止 SessionID cookie 被截獲。 (5) 使用身份驗證機制保護被限制的 ASP 內(nèi)容 您可以要求每個試圖訪問 被限制的 ASP 內(nèi)容的用戶必須要有有效的 Windows NT 帳號的用戶名和密碼。每當用戶試圖訪問被限制的內(nèi)容時， Web 服務(wù)器將進行身份驗證，即確認用戶身份，以檢查用戶是否擁有有效的 Windows NT 帳號。 Web 服務(wù)器支持以下幾種身份驗證方式：基本身份驗證提示用戶輸入用戶名和密碼。 Windows NT 請求 /響應(yīng)式身份驗證從用戶的 Web 瀏覽器通過加密方式獲取用戶身份信息。 然而， Web 服務(wù)器僅當禁止匿名訪問或 Windows NT 文件系統(tǒng)的權(quán)限限制匿名訪問時才驗證用戶身份。 (6) 保護元數(shù)據(jù)庫 訪問元數(shù)據(jù) 庫的 ASP 腳本需要 Web 服務(wù)器所運行的計算機的管理員權(quán)限。在從遠程計算機上運行這些腳本時，須經(jīng)已通過身份驗證的連接，如使用 Windows NT 請求 /響應(yīng)驗證方式進行連接。應(yīng)該為管理級 .ASP 文件創(chuàng)建一個服務(wù)器或目錄并將其目錄安全驗證方式設(shè)置為Windows NT 請求 /響應(yīng)式身份驗證。目前，僅 Microsoft Inter Explorer version 或更高版本支持 Windows NT 請求 /響應(yīng)式身份驗證。 (7) 使用 SSL 維護應(yīng)用程序的安全 Secure Sockets Layer(SSL) 協(xié)議作為 Web 服務(wù)器安全特性，提供了一種安全的虛擬透明方式來建立與用戶的加密通訊連接。 SSL 保證了 Web 內(nèi)容的驗證，并能可靠地確認訪問被限制的 Web 站點的用戶的身份。通過 SSL，您可以要求試圖訪問被限制的 ASP 應(yīng)用程序的用戶與您的服務(wù)器建立一個加密連接；以防用戶與應(yīng)用程序間交換的重要信息被截取。 如果您從位于沒有保護的虛擬根目錄中的 .ASP 文件中包含了位于啟用了 SSL 的目錄中的文件，則 SSL 將不被應(yīng)用于被包含文件。因此，為了保證應(yīng)用 SSL，應(yīng)確保包含及被包含的文件都位于啟用了 SSL 的目 錄中。 控制對您的 ASP 應(yīng)用程序訪問的一種十分安全的方法是要求用戶使用 客戶資格登錄?？蛻糍Y格是包含用戶身份信息的數(shù)字身份證，它的作用與傳統(tǒng)的諸如護照或駕駛執(zhí)照等身份證明相同。用戶通常從委托的第三方組織獲得客戶資格，第三方組織在發(fā)放資格證之前確認用戶的身份信息。（通常，這類組織要求姓名、地址、電話號碼及所在組織名稱；此類信息基于 WEB 的物業(yè)管理系統(tǒng) — 客戶服務(wù)管理 第 14 頁 共 42 頁 的詳細程度隨給予的身份等級而異。）每當用戶試圖登錄到需要資格驗證的應(yīng)用程序時，用戶的 Web 瀏覽器會自動向服務(wù)器發(fā)送用戶資格。如果 Web 服務(wù)器的 Secure Sockets Layer (SSL)資格映射特性配置正確，那么服務(wù)器就可以在許可用戶對 ASP 應(yīng)用程序訪問之前對其身份進行確認。 作為 ASP 應(yīng)用程序開發(fā)人員，您可以編寫腳本來檢查資格是否存在并讀取資格字段。例如，您可以從資格證明中訪問用戶名字段和公司名字段。 Active Server Pages 在 Request對象的 ClientCertificate 集合中保存資格信息。必須將 Web 服務(wù)器配置為接受或需要客戶資格，然后才能通過 ASP 處理客戶資格；否則， ClientCertificate 集合將為空。 (8) 創(chuàng)建事務(wù)性腳本 商業(yè)應(yīng) 用程序常常需要具有在事務(wù)內(nèi)部運行腳本和組件的能力。事務(wù)是一種服務(wù)器操作，即使該操作包括很多步驟（例如，定貨、查看存貨、付帳等），也只能整體返回操作是成功還是失敗。用戶可以創(chuàng)建在事務(wù)內(nèi)部運行的 ASP 腳本，如果腳本的任何一部分失敗，整個事務(wù)都將會終止。 ASP 事務(wù)處理是以 Microsoft Transaction Server(MTS) 為基礎(chǔ)的。 Microsoft Transaction Server(MTS)是一個事務(wù)處理系統(tǒng)，用于開發(fā)、配置和管理高性能、可分級的、有魯棒性的 Inter 和 Intra 服務(wù)器應(yīng)用程序。 Transaction Server 為開發(fā)分布式的，基于組件的應(yīng)用程序提供了一個應(yīng)用程序設(shè)計模型。它也為配置和管理這些應(yīng)用程序提供了一個運行環(huán)境。創(chuàng)建事務(wù)性腳本的功能內(nèi)置在 Inter Information Server 和 Personal Web Server 中。如果您安裝了 Microsoft Transaction Server，就可以將組件打包，以使組件在事務(wù)內(nèi)部運行。 (9) 編寫事務(wù)事件 腳本本身不能決定事務(wù)是成功還是失敗。但是，可以編寫提交或終止事務(wù)時被調(diào)用的事件。例 如，假設(shè)有一個確認銀行帳戶的腳本，并且您需要針對事務(wù)的不同狀態(tài)將不同的頁返回給用戶，那么就可以使用 OnTransactionCommit 和 OnTransactionAbort 事件來編寫對用戶的不同響應(yīng)。 (10) 對象作用域 一般情況下，不要將從 MTS 組件中創(chuàng)建的對象存儲在 ASPApplication 或 Session 對象基于 WEB 的物業(yè)管理系統(tǒng) 客戶服務(wù)管理 中南林業(yè)科技大學(xué)工學(xué)學(xué)士畢業(yè)設(shè)計說明書 第 15 頁 共 42 頁 中。 MTS 對象在事務(wù)完成后消失。因為 Session 對象和 Application 對象是為在不同 ASP 頁之間使用的對象實例設(shè)計的，所以不要用它們保存在事務(wù)結(jié)束時即被釋放的對象。 ASP 腳本 是已聲名的事務(wù)的根，即起始點。任何事務(wù)性 ASP 頁所使用的 MTS 對象都被認為是事務(wù)的一部分。當事務(wù)完成后，在頁中使用的 MTS 對象將消失，其中包括存儲在 Session或 Application 對象中的對象。在此之后，從另一個事務(wù)性頁中調(diào)用會話作用域或應(yīng)用程序作用域?qū)ο蟮膰L試都將失敗。 (11) 事務(wù)排隊 從一個遠程服務(wù)器對數(shù)據(jù)庫的更新可能因為網(wǎng)絡(luò)延遲或故障而導(dǎo)致事務(wù)延遲或終止。因為事務(wù)的所有部分都必須提交，所以應(yīng)用程序?qū)⒖赡軖炱?，等待遠程服務(wù)器的提交或終止消息，也可能由于無法發(fā)送數(shù)據(jù)庫更新而導(dǎo)致事務(wù)被放棄。 對于必須同時完成的更新，正確的做法是在事務(wù)的所有參與者都能夠提交之前，終止事務(wù)或推遲完成事務(wù)。例如，航空公司的定票程序應(yīng)該同時完成對客戶的銀行帳號計入借方和對航空公司的銀行帳戶計入貸方。如果一個更新屬于事務(wù)整體的一部分，但可能晚于其他更新，您可能不希望讓客戶等待整個更新過程的完成。例如，機票預(yù)定事務(wù)可能也要向食品供應(yīng)商發(fā)送食品訂單或更新客戶的旅程津貼。這些操作雖然也必須完成，但可以晚一些。 Microsoft Message Queue Server 使您能夠?qū)⒁粋€或一組更新捆綁到一個事務(wù)性消息中送給遠 程服務(wù)器。 Message Queue Server 保證更新將被發(fā)送給遠程服務(wù)器，即使目前網(wǎng)絡(luò)不可用。您的應(yīng)用將收到一個提交消息，從而可以繼續(xù)處理事務(wù)。 SQL 結(jié)構(gòu)化查詢語言基礎(chǔ) 為了建立交互站點 ,需要使用數(shù)據(jù)庫來存儲來自訪間者的信息。例如建立一個職業(yè)介紹服務(wù)的站點 ,就需要存儲諸如個人簡歷、感興趣的工作等等這樣的信息。創(chuàng)建動態(tài)網(wǎng)頁也需要使用數(shù)據(jù)庫 ,如果想顯示符合來訪者要求的的數(shù)據(jù)庫記錄 ,就需要從數(shù)據(jù)庫中取出這份工作的信息。那么將會發(fā)現(xiàn) ,在許多情況下需要使用數(shù)據(jù)庫。 SQL 是英文 Structured Query Language 的縮寫 ,意思為結(jié)構(gòu)化查詢語言。 SQL 語言的主要功能就是同各種數(shù)據(jù)庫建立聯(lián)系 ,進行溝通。按照 ANSI(美國國家標準協(xié)會 )的規(guī)定 ,SQL被作為關(guān)系型數(shù)據(jù)庫管理系統(tǒng)的標準語言。 SQL 語句可以用來執(zhí)行各種各樣的操作 ,例如更新數(shù)據(jù)庫中的數(shù)據(jù) ,從數(shù)據(jù)庫中提取數(shù)據(jù)等。目前 ,絕大多數(shù)流行的關(guān)系型數(shù)據(jù)庫管理系統(tǒng) ,基于 WEB 的物業(yè)管理系統(tǒng) — 客戶服務(wù)管理 第 16 頁 共 42 頁 如 Oracle , Sybase ,Microsoft SQL Server , Access 等都采用了 SQL 語言標準。雖然很多數(shù)據(jù)庫都對 SQL 語句進行了再開發(fā)和擴展 ,但是包括 select , Insert , Update , Delete , Create 以及 Drop 在內(nèi)的標準的 SQL 命令仍然可以被用來完成幾乎所有的數(shù)據(jù)庫操作。 在 ASP中 ,無論何時你要訪間一個數(shù)據(jù)庫 ,你就要使用 SQL 語言。因此 ,掌握好 SQL對 ASP編程是非常重要的。下面是常用數(shù)據(jù)庫的操作語句。 1. 用 SQL 從表中取記錄 Select 語句。 2. 用 SQL 創(chuàng)建新表 Create table 語句 3. 用 SQL 插入數(shù)據(jù) Insert 語句 4. 用 SQL 更新記錄 Update 語句 5. 用 SQL 刪除記錄 Delete 語句 6. 用 SQL 刪除表格 Drop table 語句 3 建立 ACCESS 數(shù)據(jù)庫連接 ACCESS 數(shù)據(jù)庫是屬于微軟 OFFICE 中的一個組件，是一個典型的開放式數(shù)據(jù)庫系統(tǒng)，同時也是世界上最流行的數(shù)據(jù)庫管理軟件之一。數(shù)據(jù)庫的連接可以才用數(shù)據(jù)配置源名（ Data Source Name,DNS）和未配置數(shù)據(jù)源名（ DNS— less）兩種方法，而未配置數(shù)據(jù)源名的數(shù)據(jù)庫連接又有 ODBC 和 OLE DB 兩種方式