【文章內(nèi)容簡(jiǎn)介】 庫(kù)一致性和完整性 。 以前的數(shù)據(jù)庫(kù)管理系統(tǒng)為上述各類(lèi)操作提供單獨(dú)的語(yǔ)言，而 SQL 將全部任務(wù)統(tǒng)一在一種語(yǔ)言中。 由于所有主要的關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)都支持 SQL 語(yǔ)言，用戶可將使用 SQL的技能從一個(gè) RDBMS 轉(zhuǎn)到另一個(gè)。所有用 SQL 編寫(xiě)的程序都是可以移植的。 第 6 頁(yè) 共 20 頁(yè) 動(dòng)態(tài)口令認(rèn)證技術(shù) 動(dòng)態(tài)口令技術(shù)是對(duì)傳統(tǒng)的靜態(tài)口令技術(shù)的改進(jìn)，它采用雙因子認(rèn)證的原理，即用戶既要擁有一些東西（ something you have），如系統(tǒng)頒發(fā)的 Token（令牌），又要知道一些東西（ something you know），如啟用 Token 的口令。當(dāng)用戶要網(wǎng)上投票登錄系統(tǒng)時(shí)，首先要輸入啟用 Token 的口令，其次還要將 Token 上所顯示的數(shù)字作為系統(tǒng)的口令輸入。 Token 上的數(shù)字是不斷變化的，而且與認(rèn)證服務(wù)器同步，因此用戶登錄到系統(tǒng)的 口令也是不斷地變化的（即所謂的“一次一密”）。 雙因子認(rèn)證比基于口令的 認(rèn)證 方法增加了一個(gè)認(rèn)證要素，攻擊者僅僅獲取了用戶口令或者僅僅拿到了用戶的令牌訪問(wèn)設(shè)備，都無(wú)法通過(guò)系統(tǒng)的認(rèn)證。而且令牌訪問(wèn)設(shè)備上所顯示的數(shù)字式不斷地變化，這使得攻擊變得非常困難。因此，這種方法比基于口令的認(rèn)證方法具有更好的安全性，在一定程度不同上解決了基于靜態(tài)口令的認(rèn)證方法所面臨的威脅。 動(dòng)態(tài)口令認(rèn)證技術(shù)具體的實(shí)現(xiàn)即是驗(yàn)證碼。 所謂驗(yàn)證碼， 是將一串隨機(jī)產(chǎn)生的數(shù)字或符號(hào)，生成一幅圖片， 圖片里加上一些干擾象素（防止 OCR），由用戶肉眼識(shí)別其中 的驗(yàn)證碼信息，輸入表單提交網(wǎng)站驗(yàn)證，驗(yàn)證成功后才能使用某項(xiàng)功能。 驗(yàn)證碼可 防止大規(guī)模匿名 操作 的發(fā)生， 如某些 用戶利用 軟件 自動(dòng)注冊(cè)、登錄、 投票等不公正行為。而 加上隨機(jī)的驗(yàn)證碼之后 ,軟件不可能計(jì)算出一樣的驗(yàn)證碼 ,因此就無(wú)法 投票 了 。 驗(yàn)證碼起源 因?yàn)楣粽邥?huì)使用有害程序注冊(cè)大量的 Web 服務(wù)帳戶（如 Passport）。攻擊者可以使用這些帳戶為其他的用戶制造麻煩，如發(fā)送垃圾郵件或通過(guò)同時(shí)反復(fù)登錄多個(gè)帳戶來(lái)延緩服務(wù)的速度。在大多數(shù)情況下，自動(dòng)注冊(cè)程序不能識(shí)別此圖片中的字符。簡(jiǎn)單的說(shuō)呢，就是防止攻擊者編寫(xiě)程序，自 動(dòng)注冊(cè)，重復(fù)登錄暴力破解密碼。驗(yàn)證碼技術(shù)應(yīng)運(yùn)而生。 驗(yàn)證碼實(shí)現(xiàn)流程 服務(wù)器端隨機(jī)生成驗(yàn)證碼字符串，保存在內(nèi)存中，并寫(xiě)入圖片，發(fā)送給瀏覽器端顯示，瀏覽器端輸入驗(yàn)證碼圖片上字符，然后提交服務(wù)器端，提交的字符和服務(wù)器端保存的該字符比較是否一致。一致就繼續(xù)，否則返回提示。攻擊者編寫(xiě)的 robot 程序，很難識(shí)別驗(yàn)證碼字符，順利的完成自動(dòng)注冊(cè)，登錄。而用戶可以識(shí)別填寫(xiě)，所以這就實(shí)現(xiàn)了阻擋攻擊的作用。而圖片的字符識(shí)別，就是看圖片上的干擾強(qiáng)度了。就實(shí)際的效果來(lái)說(shuō)，驗(yàn)證碼只是增加攻擊者的難度，而不可能完全的防止。 第 7 頁(yè) 共 20 頁(yè) 網(wǎng)上投票系統(tǒng)中的 驗(yàn)證碼的作用 因?yàn)?WEB 站有時(shí)會(huì)碰到客戶機(jī)惡意攻擊 ， 其中一種很常見(jiàn)的攻擊手段就是身份欺騙它通過(guò)在客戶端腳本寫(xiě)入一些代碼 ， 然后利用其客戶機(jī)在 網(wǎng)站 反復(fù)登陸 ，或者攻擊者創(chuàng)建一個(gè) HTML 窗體 ， 其窗體如果包含了注冊(cè)窗體或 投票 窗體等相同的字段 ,然后利用 “ post” 傳輸數(shù)據(jù)到服務(wù)器 ,服務(wù)器會(huì)執(zhí)行相應(yīng)的創(chuàng)建帳戶 ， 提交垃圾數(shù)據(jù)等操作 ， 如果服務(wù)器本身不能有效驗(yàn)證并拒絕此非法操作 ， 它會(huì)很?chē)?yán)重耗費(fèi)其系統(tǒng)資源 ， 降低網(wǎng)站性能甚至使程序崩潰 。 而現(xiàn)在流行的判斷訪問(wèn) WEB 程序是合法用戶還是惡意操作的方式 ， 就是采用動(dòng)態(tài)口令 技術(shù) 。本網(wǎng)上投票系統(tǒng) 采用 的 方法是為 用 戶提供一個(gè)包含隨即字符串的圖片，用戶必須讀取這些字符串 ， 然后隨登陸窗體或者 投票 窗體等用戶創(chuàng)建的窗體一起提交 。 因?yàn)槿说脑?， 可以很容易讀出圖片中的數(shù)字 ， 但如果是一段客戶端攻擊代碼 ， 通過(guò)一般手段是很難識(shí)別驗(yàn)證碼的 。 這樣可以確保當(dāng)前訪問(wèn)是來(lái)自一個(gè)人而非機(jī)器 。 3 數(shù)據(jù)庫(kù)的搭建 ER 圖 ER 如下： 第 8 頁(yè) 共 20 頁(yè) 圖 31 ER 圖 數(shù)據(jù)庫(kù)連接程序： % Set conn = () Driver={SQL Server}。server=(local)。uid=sa。pwd=。database=a。 % 數(shù)據(jù)庫(kù)的設(shè)計(jì) 用戶信息 在用戶注冊(cè)時(shí)，用于存儲(chǔ)“用戶帳號(hào)”“用戶密碼”“用戶真實(shí)姓名”“用戶電話”“用戶電子郵件”“用戶地址”“用戶備注”等相關(guān)信息。 用戶 用戶 ID 用戶 密碼 姓名 投票 主題 投票目的 投票內(nèi)容 顯示結(jié)果 管理員 投票 增加 刪除 更新 管理員 ID 管理員密碼 搜索 投票 選項(xiàng) 1 選項(xiàng) 2 第 9 頁(yè) 共 20 頁(yè) 表 31 用戶信息表（ userinfo） 列名 數(shù)據(jù)類(lèi)型 說(shuō)明 id char(6) 用戶帳號(hào) （主鍵） pwd char(6) 用戶 密碼 name varchar(20) 用戶真實(shí)姓名 （關(guān)鍵字） tele char(15) 用戶電話 mail varchar(40) 用戶電子郵件 （關(guān)鍵字） address varchar(40) 用戶地址 ment varchar(100) 用戶備注 投票信息 存儲(chǔ)投票相關(guān)信息如：“投票 主題 ”“投票目的”“投票內(nèi)容”“投票選項(xiàng)”“投票備注”。 表 32 投票信息表（ voteinfo） 列名 數(shù)據(jù)類(lèi)型 說(shuō)明 topic varchar(30) 投票主題 （主鍵） intension varchar(100) 投票目的 content varchar(100) 投票內(nèi)容 choice varchar(30) 投票選項(xiàng) ment varchar(100) 投票備注 投票選項(xiàng) 各投票主題的“投票選項(xiàng)”及對(duì)應(yīng)的投票數(shù)。 表 33 投票選項(xiàng)表（ choice） 列名 數(shù)據(jù)類(lèi)型 說(shuō)明 topic varchar(30) 投票主題 （主鍵） one varchar(30) 選項(xiàng) 1 two varchar(30) 選項(xiàng) 2 three varchar(30) 選項(xiàng) 3 第 10 頁(yè) 共 20 頁(yè) four varchar(30) 選項(xiàng) 4 five varchar(30) 選項(xiàng) 5 count1 int 選項(xiàng) 1 的投票數(shù) count2 int 選項(xiàng) 2 的投票數(shù) count3 int 選項(xiàng) 3 的投票數(shù) count4 int 選項(xiàng) 4 的投票數(shù) count5 int 選項(xiàng) 5 的投票數(shù) 管理員信息 表 34 管理員信息表（ admininfo） 列名 數(shù)據(jù)類(lèi)型 說(shuō)明 id char(6) 管理員帳戶（主鍵） pwd char(6) 管理員 密碼 4 系統(tǒng) 詳細(xì) 設(shè)計(jì) 具有動(dòng)態(tài)口令認(rèn)證機(jī)制的網(wǎng)上投票系統(tǒng)的結(jié)構(gòu) 考慮到本系統(tǒng)的實(shí)用性、效率、應(yīng)用范圍等因素，主要設(shè)計(jì)了如下幾個(gè)模塊：用戶注冊(cè)、登陸和和驗(yàn)證模塊，用戶投票模塊，投票管理模塊三 個(gè)部分。 （ 1）用戶注冊(cè)、登陸和驗(yàn)證模塊 此完成的功能主要是能記錄用戶的注冊(cè)信息，存儲(chǔ)在數(shù)據(jù)庫(kù)，并在登陸時(shí)核對(duì)與在數(shù)據(jù)庫(kù)中的數(shù)據(jù)是否匹配。并完成動(dòng)態(tài)口令驗(yàn)證功能。 （ 2）用戶操作模塊 此模塊完成的功能一是顯示投票項(xiàng)，記錄用戶所投選項(xiàng)，更新數(shù)據(jù)庫(kù)，能夠顯示投票結(jié)果，二是用戶能夠搜索投票。用戶投票模塊分為 3 個(gè)子模塊：用戶投票模塊、顯示投票模塊和搜索 投票模塊。 （ 3）投票管理模塊 此模塊完成的功能是能夠增加、刪除和修改投票主題和投票信息，并在數(shù)據(jù)庫(kù)中對(duì)數(shù)據(jù)進(jìn)行相應(yīng)的操作。 本系統(tǒng) 的結(jié)構(gòu) 如下所示： 第 11 頁(yè) 共 20 頁(yè) 圖 41 系統(tǒng)結(jié)構(gòu)圖 詳細(xì) 功能設(shè)計(jì) 用戶注冊(cè)、登陸和驗(yàn)證模塊 模塊圖如下： 用戶注冊(cè) 界面 用戶登陸界面 投票 查看投票結(jié)果 管理員登錄界面 增加投票 刪除投票 更改投票 搜索投票 用戶操作界面 投票管理界面 第 12 頁(yè) 共 20 頁(yè) 圖 42 用戶信息模塊 （ 1） 用戶注冊(cè) ： 用戶可以通過(guò)這一功能在網(wǎng)站上將自己的信息通過(guò)填寫(xiě)注冊(cè)窗體的形式，發(fā)送到后臺(tái)數(shù)據(jù)庫(kù) 中并存儲(chǔ)，以便在網(wǎng)站上進(jìn)行投票。用戶注冊(cè)功能能提高投票信息的公正性和有效性，防止部分人員隨意投票。 用戶注冊(cè)界面： 圖 43 用戶信息注冊(cè)界面 （ 2） 用戶登陸 ： 用戶注冊(cè)后就可以在登陸框中輸入正確的用戶名和密碼，并通過(guò)動(dòng)態(tài)口令認(rèn)證，便可登陸到網(wǎng)站。 （ 3） 登陸驗(yàn)證： 驗(yàn)證原理： 使用動(dòng)態(tài)編程語(yǔ)言 ASP， 隨即生成一個(gè)隨機(jī) 4 位數(shù)字 。 生成以后 ，用 GD 庫(kù)的支持生成一張根據(jù)隨機(jī)數(shù)來(lái)確定的圖片 ， 把隨機(jī)數(shù)寫(xiě)入到 session 中 ，傳遞到要驗(yàn)證的頁(yè)面 ， 生成的圖片顯示給登陸 者， 并要求登陸者輸入該隨機(jī)數(shù)內(nèi)容 ， 提交到驗(yàn)證頁(yè)面 ， 驗(yàn)證 session 的內(nèi)容和提交的內(nèi)容是否一致 。 關(guān)鍵代碼： dim GetCode,valicode GetCode=Cstr(request(getcode)) 用戶信息 用戶注冊(cè) 用戶登陸 登陸驗(yàn)證 第 13 頁(yè) 共 20 頁(yè) valicode=Cstr(Session(validatecode)) if GetCodevalicode then (驗(yàn)證碼輸入錯(cuò)誤，請(qǐng)重輸入 ) 運(yùn)用動(dòng)態(tài)口令認(rèn)證機(jī)制， 登陸時(shí)輸入所顯示的動(dòng)態(tài)驗(yàn)證碼，以此防止惡意重復(fù)性投票，提高了系統(tǒng)的安全性。 用戶登 陸界面： 圖 44 用戶登陸界面 用戶投票模塊 模塊圖如下： 圖 45 用戶投票模塊 （ 1） 設(shè)計(jì) 用戶操作 主界面： 用戶操作 一共包含需要 3 個(gè)方面，即 開(kāi) 投票頁(yè)面， 顯示 投票 結(jié)果 頁(yè)面， 搜索投票信息頁(yè)面。 （ 2） 進(jìn)行投票： 在 “投票選項(xiàng) ”中選中所選類(lèi)別提交后，所選內(nèi)容會(huì)存儲(chǔ)在數(shù)據(jù)庫(kù)中，并在投票管理頁(yè)面中顯示投票結(jié)果。 投票界面： 投票 開(kāi)始 投票 顯示投票結(jié)果 搜索投票 設(shè)計(jì)用戶操作主界面 第 14 頁(yè) 共 20 頁(yè) 圖 46 投票界面 （ 3）顯示投票結(jié)果： 用戶提交投票信息后，數(shù)據(jù)存入數(shù)據(jù)庫(kù)并計(jì)算出每個(gè)投票選 項(xiàng)的所得投票數(shù)，并將投票數(shù)最多的那一選項(xiàng)的信息顯示到此頁(yè)面。 顯示投票結(jié)果界面： 圖 47 顯示投票結(jié)果界面 （ 4） 搜索投票： 用戶可在 搜索 投票模塊搜索自己想要了解的投票的具體內(nèi)容。首先是搜索主題，然后轉(zhuǎn)到相應(yīng)主題的相關(guān)投票信息， 實(shí)現(xiàn)數(shù)據(jù)庫(kù)數(shù)據(jù)的讀取。 關(guān)鍵代碼： % op=request(op) if not op=投票搜索 then % % else topic=request(search) set rs=() select (39。amp。topicamp。39。) as re,conn,1,3 if not then % 搜索投票界面： 第 15 頁(yè) 共 20 頁(yè) 圖 48 搜索投票界面 投票管理模塊 模塊圖如下： 圖 49 投票管理模塊 （ 1） 管理員登陸 ： 管理登陸之后才能管理投票信息 。 在此模塊中同樣引入了動(dòng)態(tài)口令認(rèn)證以保證安全。 （ 2）設(shè)計(jì)投票管理主界面： 當(dāng)管理員登錄成功后 ,會(huì)轉(zhuǎn)到投票管理界面。在 該界面可以進(jìn)行以下操作：增加投票，刪除投票，更新投票信息。 （ 3）增加投票： 添加投票界面是管理員新建投票信息并存儲(chǔ)在數(shù)據(jù)庫(kù)中的媒介，并在投票管理界面中顯示。 增加投票界面： 投票管理 增加投票 刪除投票 更新投票信息 管理員登陸 設(shè)計(jì)投票管理主界面 第 16 頁(yè) 共 20 頁(yè) 圖 410 增加投票界面 （ 4）刪除投票： 刪除不需要的或已過(guò)期的投票，并刪除在數(shù)據(jù)庫(kù)中的相應(yīng)的數(shù)據(jù)。 關(guān)鍵代碼： % flag=request(action) if not(flag=提交 ) then % % else topic=request(topic) delete from voteinfo where topic=39。amp。topicamp。39。 delete from choice where topic=39。amp。topicamp。39。 end if % 刪除投票界面： 圖 411 刪除投票界面