【正文】 。這是因為當瀏覽器請求一個頁面時，如果頁面包含 N個圖 像 ，這將使的瀏覽器要向 WEB服務器請求 N次調用。而這種請求會降 低頁面的加載進程。進而影響速度 （ 2） 框架問題。在網(wǎng)頁里面使用框架同樣也會降低頁面的加 載進程，和圖 像 因素相似，加載一個 N個框架也需要請求 N次。 （ 3） 表格問題，盡量避免使用表格，尤其是盡量避免使用多重表格，繁雜的表格會影響 HTML的執(zhí)行效率 （ 4） 減少注釋，這將會減少文件的大小。進而提高加載速度 （ 5） 避免使用長文件名，并且在頁面里盡量使用相對路徑訪問其他文件。 （ 6） 在 HTML 頁面里面盡量避免使用 JavaApplets。例如，如果想使用 JavaApplets 來處理動畫，那么可以考慮用 GIF 文件或者是 FLASH 來代替 ，而這將比 JavaApplets快很多 ASP的因素 （ 1） 盡量把對象變量轉換成本地變量，因為讀本地變量比讀對象變量要快許多 （ 2） 如果使用的是 或者是更新的版本，盡量使用 With...EndWith 語句，這也可以提高你的程序運行速度 （ 3） 就總體而言，避免使用 session變量有助于提高速度，這是因為不同的 ASP頁面分別在不同的線程里面運行的，而 session調用卻不是這樣的，他是連續(xù)的。 （三） 數(shù)據(jù)庫優(yōu)化 設計好一個數(shù)據(jù)庫結構可以大大提高程序的運行速度，當然怎么設計數(shù)據(jù)庫結構不是本文討論的問題。我 們先假設已經設計好了數(shù)據(jù)庫結構，看看還能做些什么事情來提高程序的運行速度。 如果數(shù)據(jù)庫服務器和 WEB服務器是同一個，那么最好分開。這 樣做可以 提高速度。 如果訪問數(shù)據(jù)庫，最好不要使用動態(tài)的 SQL語句，使用存儲過程或者視圖。 有時分配適當?shù)臄?shù)據(jù)庫 buffers會提高程序的性能。這是因為，假如如果你使用的是 Oracle數(shù)據(jù)庫，對于每個連接都需要打開三個 sessions。如果能夠處理好這些事情，將會提高程序的性能 。 （四 ） ASP 的安全問題 設計中主要解決的問題是我們所建的網(wǎng)上超市中 ASP 的 安全性問題，由于網(wǎng)站中 ASP是建立 Windows平臺上的，因此 Windows本身的所有問題都會一成不變地累加到了它的身上。安全性，穩(wěn)定性，跨平臺性都會因為與 NT 的捆綁而顯現(xiàn)出來。而網(wǎng)上超市本身就需要很高的的安全性，穩(wěn)定性，和廣泛的跨平臺性。保證每位顧客的信息的隱秘，確保網(wǎng)上超市能正常的運行。 Session與 Cookie的安全性 網(wǎng)上超市中 ASP使用 SessionIDCookie跟蹤應用程序訪問或會話期間特定的 WEB瀏覽器的信息。這就是說，帶有相應的 HTTP 請求被認為是來自同一 WEB 瀏覽器。 WEB 瀏覽器 可以使用 SessionIDCookie 配置帶有用戶特定會話信息的 ASP 應用程序。本網(wǎng)站就是使用SessionID來跟蹤用戶漫游整個應用程序。 那么，從網(wǎng)上超市的安全性角度考慮，為了避免 SessionIDCookie被盜取，并獲得對合法用戶的會話變量的訪問， WEB服務器應該為每個 SessionID指派一個隨機生成號碼。每當用戶的 WEB瀏覽器返回一個 SessionIDCookie時，服務器取出 SessionID和被賦予的數(shù)字，接著檢查是否與存儲在服務器上的生成號碼一致。若兩個號碼一致，將允許用戶訪問會話變量。這 一技術的有效性在于被賦予的數(shù)字的長度（ 64 位），此長度在一定程度上保證了SessionID的安全性。 使用身份驗證機制保護網(wǎng)上超市的 ASP頁面 使用身份驗證機制保護被限制的網(wǎng)站中 ASP內容您可以要求每個試圖訪問被限制的網(wǎng)站中 ASP內容的用戶必須要有有效的 WindowsNT帳號的用戶名和密碼。每當用戶試圖訪問被限制的內容時， WEB服務器將進行身份驗證，即確認用戶身份，以檢查用戶是否擁有有效的網(wǎng)上超市的帳號。 WEB服務器支持以下幾種身份驗證方法： ? 基本身份驗證：提示用戶輸入用戶名和密碼。 ? WindowsNT 請求 /響應式身份驗證：從用戶的 WEB 瀏覽器通過加密方式獲取用戶身份信息。 然而， WEB瀏覽器僅當禁止匿名訪問或 WindowsNT文件系統(tǒng)的權限限制匿名 訪問時才驗證用戶身份。詳細信息，請參閱 WindowsNT的身份驗證機制。保護元素數(shù)據(jù)庫訪問元數(shù)據(jù)庫的 ASP腳本需要 WEB服務器所運行的計算機的管理員權限。再從遠程計算機上運行這些腳本時，須經過已通過身份驗證的連接，如使用 WindowsNT請求 /響應式身份驗證方式進行連接。應該為管理級 .asp文件創(chuàng)建一個服務器或目錄并將其目錄安全驗證方式 設置為 WindowsNT請求 /響應式身份驗證。目前，僅 Microsoft Inter Explorer WindowsNT請求 /響應式身份驗證。 其他一些維護系統(tǒng)安全性的小方法： 在 ASP 程序后加個特殊符號，能看到 ASP 源程序。這些特殊符號包括小數(shù)點， %8,::$DATA。究其根源其實是 WindowsNT 特有的文件系統(tǒng)在做怪。 NTFS 支持包含在一個文件中的多數(shù)數(shù)據(jù)流，而這個包含了所有內容的主數(shù)據(jù)流被稱為“ DATA”，因此使得在瀏覽器里直接訪問 NTFS系統(tǒng)的 這個特性而輕易的捕獲在這個文件中的腳本程序成為可能。然而，直接導致 ::$DATA的原因是由于 IIS在解析文件名的時候出了問題，它沒有很好地規(guī)范文件名。 解決方法： （ 1）是將 .asp文件存放的目錄設置為不可讀（ ASP仍能執(zhí)行），這樣 html、 css等文件就不能放在這個目錄下，否則它們將不能被瀏覽。比如，我們做的網(wǎng)上超市存放的目錄bookshop，就設置的為只讀。從而防止了這種漏洞。 （ 2）安裝最新版本的 IISWindows2021。所以，在服務器上最好采用最新的 IIS版本。 ASP代碼，問題解決：對于 IIS自帶的 showaspcode的 asp程序文件，刪除該文件或者禁止訪問該目錄即可。 ASP程序密碼驗證漏洞，對輸入的內容驗證和“，”號的處理。 繞過驗證直接進入 ASP頁面，如果用戶知道了一個 ASP頁面的路徑和文件名，直接輸入這個 ASP頁面的文件名，就有可能通過繞過驗證。解決方法：在需要驗證的 ASP頁面開頭處進行相應的處理。 ：受影響的版本： +MicrosoftWinsowsNT2021 + 解決方法：安裝補丁 : 下面是最終對 IIS系統(tǒng)配置的安全性解決方法： 使用最新版本的 ，并安裝 NT最新版本的 ServicePack5，服務器的文件系統(tǒng)不要使用 FAT，應該使用 NTFS。 把 IIS中的 sample、 scdpts、 iisadmin和 msdac等 web 目錄設置為禁止匿名訪問并限制 IP地址。 采用防火墻機制，最簡單的方法有， web服務器開在前臺，目錄放在后臺。 管理員的帳號要設置得復雜一些，建議加入特殊字符。 將 ASP的目錄集中管理，為 ASP的程序目錄設置詳盡的訪問權限。 對于自己知道的 NT 安全漏洞，都應該在自己的機器上做測試檢查。并及時安裝補丁程序。 上面提到的這些都是關于 ASP自身的問題，當然在我們所做的網(wǎng)上超市的調試過程中也出現(xiàn)過一些錯誤，這個就涉及到個人在編程時的習慣問題。程序設計不可能避免錯誤的產生，在 ASP出現(xiàn)錯誤時，我想強調的一點就是不光要找出 ASP程序中去尋找問題所在，要多方面考慮。例如：是否 Vbscript 出錯， ADO 存在錯誤，還有就是數(shù)據(jù)庫中是 否存在諸如字段與ASP程序編寫不一致的問題，等等。這些都需要耐心地去做好，同時養(yǎng)成好的編程習慣也是一個重要環(huán)節(jié)。 我們所做的網(wǎng)上超市都針對以上的漏洞采取了相應的措施，確保把錯誤和漏洞降低至最低限度。 參考文獻 ASP 及 ――機械工程出版社 ASP 從入門到精通――中國鐵道出版社