【文章內容簡介】 庫一致性和完整性 。 以前的數據庫管理系統(tǒng)為上述各類操作提供單獨的語言，而 SQL 將全部任務統(tǒng)一在一種語言中。 由于所有主要的關系數據庫管理系統(tǒng)都支持 SQL 語言，用戶可將使用 SQL的技能從一個 RDBMS 轉到另一個。所有用 SQL 編寫的程序都是可以移植的。 第 6 頁 共 20 頁 動態(tài)口令認證技術 動態(tài)口令技術是對傳統(tǒng)的靜態(tài)口令技術的改進，它采用雙因子認證的原理，即用戶既要擁有一些東西（ something you have），如系統(tǒng)頒發(fā)的 Token（令牌），又要知道一些東西（ something you know），如啟用 Token 的口令。當用戶要網上投票登錄系統(tǒng)時，首先要輸入啟用 Token 的口令，其次還要將 Token 上所顯示的數字作為系統(tǒng)的口令輸入。 Token 上的數字是不斷變化的，而且與認證服務器同步，因此用戶登錄到系統(tǒng)的 口令也是不斷地變化的（即所謂的“一次一密”）。 雙因子認證比基于口令的 認證 方法增加了一個認證要素，攻擊者僅僅獲取了用戶口令或者僅僅拿到了用戶的令牌訪問設備，都無法通過系統(tǒng)的認證。而且令牌訪問設備上所顯示的數字式不斷地變化，這使得攻擊變得非常困難。因此，這種方法比基于口令的認證方法具有更好的安全性，在一定程度不同上解決了基于靜態(tài)口令的認證方法所面臨的威脅。 動態(tài)口令認證技術具體的實現(xiàn)即是驗證碼。 所謂驗證碼， 是將一串隨機產生的數字或符號，生成一幅圖片， 圖片里加上一些干擾象素（防止 OCR），由用戶肉眼識別其中 的驗證碼信息，輸入表單提交網站驗證，驗證成功后才能使用某項功能。 驗證碼可 防止大規(guī)模匿名 操作 的發(fā)生， 如某些 用戶利用 軟件 自動注冊、登錄、 投票等不公正行為。而 加上隨機的驗證碼之后 ,軟件不可能計算出一樣的驗證碼 ,因此就無法 投票 了 。 驗證碼起源 因為攻擊者會使用有害程序注冊大量的 Web 服務帳戶（如 Passport）。攻擊者可以使用這些帳戶為其他的用戶制造麻煩，如發(fā)送垃圾郵件或通過同時反復登錄多個帳戶來延緩服務的速度。在大多數情況下，自動注冊程序不能識別此圖片中的字符。簡單的說呢，就是防止攻擊者編寫程序，自 動注冊，重復登錄暴力破解密碼。驗證碼技術應運而生。 驗證碼實現(xiàn)流程 服務器端隨機生成驗證碼字符串，保存在內存中，并寫入圖片，發(fā)送給瀏覽器端顯示，瀏覽器端輸入驗證碼圖片上字符，然后提交服務器端，提交的字符和服務器端保存的該字符比較是否一致。一致就繼續(xù)，否則返回提示。攻擊者編寫的 robot 程序，很難識別驗證碼字符，順利的完成自動注冊，登錄。而用戶可以識別填寫，所以這就實現(xiàn)了阻擋攻擊的作用。而圖片的字符識別，就是看圖片上的干擾強度了。就實際的效果來說，驗證碼只是增加攻擊者的難度，而不可能完全的防止。 第 7 頁 共 20 頁 網上投票系統(tǒng)中的 驗證碼的作用 因為 WEB 站有時會碰到客戶機惡意攻擊 ， 其中一種很常見的攻擊手段就是身份欺騙它通過在客戶端腳本寫入一些代碼 ， 然后利用其客戶機在 網站 反復登陸 ，或者攻擊者創(chuàng)建一個 HTML 窗體 ， 其窗體如果包含了注冊窗體或 投票 窗體等相同的字段 ,然后利用 “ post” 傳輸數據到服務器 ,服務器會執(zhí)行相應的創(chuàng)建帳戶 ， 提交垃圾數據等操作 ， 如果服務器本身不能有效驗證并拒絕此非法操作 ， 它會很嚴重耗費其系統(tǒng)資源 ， 降低網站性能甚至使程序崩潰 。 而現(xiàn)在流行的判斷訪問 WEB 程序是合法用戶還是惡意操作的方式 ， 就是采用動態(tài)口令 技術 。本網上投票系統(tǒng) 采用 的 方法是為 用 戶提供一個包含隨即字符串的圖片，用戶必須讀取這些字符串 ， 然后隨登陸窗體或者 投票 窗體等用戶創(chuàng)建的窗體一起提交 。 因為人的話 ， 可以很容易讀出圖片中的數字 ， 但如果是一段客戶端攻擊代碼 ， 通過一般手段是很難識別驗證碼的 。 這樣可以確保當前訪問是來自一個人而非機器 。 3 數據庫的搭建 ER 圖 ER 如下： 第 8 頁 共 20 頁 圖 31 ER 圖 數據庫連接程序： % Set conn = () Driver={SQL Server}。server=(local)。uid=sa。pwd=。database=a。 % 數據庫的設計 用戶信息 在用戶注冊時，用于存儲“用戶帳號”“用戶密碼”“用戶真實姓名”“用戶電話”“用戶電子郵件”“用戶地址”“用戶備注”等相關信息。 用戶 用戶 ID 用戶 密碼 姓名 投票 主題 投票目的 投票內容 顯示結果 管理員 投票 增加 刪除 更新 管理員 ID 管理員密碼 搜索 投票 選項 1 選項 2 第 9 頁 共 20 頁 表 31 用戶信息表（ userinfo） 列名 數據類型 說明 id char(6) 用戶帳號 （主鍵） pwd char(6) 用戶 密碼 name varchar(20) 用戶真實姓名 （關鍵字） tele char(15) 用戶電話 mail varchar(40) 用戶電子郵件 （關鍵字） address varchar(40) 用戶地址 ment varchar(100) 用戶備注 投票信息 存儲投票相關信息如：“投票 主題 ”“投票目的”“投票內容”“投票選項”“投票備注”。 表 32 投票信息表（ voteinfo） 列名 數據類型 說明 topic varchar(30) 投票主題 （主鍵） intension varchar(100) 投票目的 content varchar(100) 投票內容 choice varchar(30) 投票選項 ment varchar(100) 投票備注 投票選項 各投票主題的“投票選項”及對應的投票數。 表 33 投票選項表（ choice） 列名 數據類型 說明 topic varchar(30) 投票主題 （主鍵） one varchar(30) 選項 1 two varchar(30) 選項 2 three varchar(30) 選項 3 第 10 頁 共 20 頁 four varchar(30) 選項 4 five varchar(30) 選項 5 count1 int 選項 1 的投票數 count2 int 選項 2 的投票數 count3 int 選項 3 的投票數 count4 int 選項 4 的投票數 count5 int 選項 5 的投票數 管理員信息 表 34 管理員信息表（ admininfo） 列名 數據類型 說明 id char(6) 管理員帳戶（主鍵） pwd char(6) 管理員 密碼 4 系統(tǒng) 詳細 設計 具有動態(tài)口令認證機制的網上投票系統(tǒng)的結構 考慮到本系統(tǒng)的實用性、效率、應用范圍等因素，主要設計了如下幾個模塊：用戶注冊、登陸和和驗證模塊，用戶投票模塊，投票管理模塊三 個部分。 （ 1）用戶注冊、登陸和驗證模塊 此完成的功能主要是能記錄用戶的注冊信息，存儲在數據庫，并在登陸時核對與在數據庫中的數據是否匹配。并完成動態(tài)口令驗證功能。 （ 2）用戶操作模塊 此模塊完成的功能一是顯示投票項，記錄用戶所投選項，更新數據庫，能夠顯示投票結果，二是用戶能夠搜索投票。用戶投票模塊分為 3 個子模塊：用戶投票模塊、顯示投票模塊和搜索 投票模塊。 （ 3）投票管理模塊 此模塊完成的功能是能夠增加、刪除和修改投票主題和投票信息，并在數據庫中對數據進行相應的操作。 本系統(tǒng) 的結構 如下所示： 第 11 頁 共 20 頁 圖 41 系統(tǒng)結構圖 詳細 功能設計 用戶注冊、登陸和驗證模塊 模塊圖如下： 用戶注冊 界面 用戶登陸界面 投票 查看投票結果 管理員登錄界面 增加投票 刪除投票 更改投票 搜索投票 用戶操作界面 投票管理界面 第 12 頁 共 20 頁 圖 42 用戶信息模塊 （ 1） 用戶注冊 ： 用戶可以通過這一功能在網站上將自己的信息通過填寫注冊窗體的形式，發(fā)送到后臺數據庫 中并存儲，以便在網站上進行投票。用戶注冊功能能提高投票信息的公正性和有效性，防止部分人員隨意投票。 用戶注冊界面： 圖 43 用戶信息注冊界面 （ 2） 用戶登陸 ： 用戶注冊后就可以在登陸框中輸入正確的用戶名和密碼，并通過動態(tài)口令認證，便可登陸到網站。 （ 3） 登陸驗證： 驗證原理： 使用動態(tài)編程語言 ASP， 隨即生成一個隨機 4 位數字 。 生成以后 ，用 GD 庫的支持生成一張根據隨機數來確定的圖片 ， 把隨機數寫入到 session 中 ，傳遞到要驗證的頁面 ， 生成的圖片顯示給登陸 者， 并要求登陸者輸入該隨機數內容 ， 提交到驗證頁面 ， 驗證 session 的內容和提交的內容是否一致 。 關鍵代碼： dim GetCode,valicode GetCode=Cstr(request(getcode)) 用戶信息 用戶注冊 用戶登陸 登陸驗證 第 13 頁 共 20 頁 valicode=Cstr(Session(validatecode)) if GetCodevalicode then (驗證碼輸入錯誤，請重輸入 ) 運用動態(tài)口令認證機制， 登陸時輸入所顯示的動態(tài)驗證碼，以此防止惡意重復性投票，提高了系統(tǒng)的安全性。 用戶登 陸界面： 圖 44 用戶登陸界面 用戶投票模塊 模塊圖如下： 圖 45 用戶投票模塊 （ 1） 設計 用戶操作 主界面： 用戶操作 一共包含需要 3 個方面，即 開 投票頁面， 顯示 投票 結果 頁面， 搜索投票信息頁面。 （ 2） 進行投票： 在 “投票選項 ”中選中所選類別提交后，所選內容會存儲在數據庫中，并在投票管理頁面中顯示投票結果。 投票界面： 投票 開始 投票 顯示投票結果 搜索投票 設計用戶操作主界面 第 14 頁 共 20 頁 圖 46 投票界面 （ 3）顯示投票結果： 用戶提交投票信息后，數據存入數據庫并計算出每個投票選 項的所得投票數，并將投票數最多的那一選項的信息顯示到此頁面。 顯示投票結果界面： 圖 47 顯示投票結果界面 （ 4） 搜索投票： 用戶可在 搜索 投票模塊搜索自己想要了解的投票的具體內容。首先是搜索主題，然后轉到相應主題的相關投票信息， 實現(xiàn)數據庫數據的讀取。 關鍵代碼： % op=request(op) if not op=投票搜索 then % % else topic=request(search) set rs=() select (39。amp。topicamp。39。) as re,conn,1,3 if not then % 搜索投票界面： 第 15 頁 共 20 頁 圖 48 搜索投票界面 投票管理模塊 模塊圖如下： 圖 49 投票管理模塊 （ 1） 管理員登陸 ： 管理登陸之后才能管理投票信息 。 在此模塊中同樣引入了動態(tài)口令認證以保證安全。 （ 2）設計投票管理主界面： 當管理員登錄成功后 ,會轉到投票管理界面。在 該界面可以進行以下操作：增加投票，刪除投票，更新投票信息。 （ 3）增加投票： 添加投票界面是管理員新建投票信息并存儲在數據庫中的媒介，并在投票管理界面中顯示。 增加投票界面： 投票管理 增加投票 刪除投票 更新投票信息 管理員登陸 設計投票管理主界面 第 16 頁 共 20 頁 圖 410 增加投票界面 （ 4）刪除投票： 刪除不需要的或已過期的投票，并刪除在數據庫中的相應的數據。 關鍵代碼： % flag=request(action) if not(flag=提交 ) then % % else topic=request(topic) delete from voteinfo where topic=39。amp。topicamp。39。 delete from choice where topic=39。amp。topicamp。39。 end if % 刪除投票界面： 圖 411 刪除投票界面