【正文】 ）站點(diǎn)訪問速度的優(yōu)化我們的設(shè)計中第一要解決的問題是我們所建的網(wǎng)上超市中各項(xiàng)技術(shù)的的維護(hù)和優(yōu)化。這樣才能是我們網(wǎng)上超市的功能越強(qiáng)，使用起來越方便。當(dāng)然在這么多屬性中，最重要的當(dāng)然是訪問速度。在客戶端的硬件和他的網(wǎng)絡(luò)帶寬一定的情況下，我們可以通過下面2種方法提高用戶的訪問速度。HTML的因素（1） 圖像因素。在HTML的頁面盡量避免使用圖像。這是因?yàn)楫?dāng)瀏覽器請求一個頁面時，如果頁面包含N個圖像，這將使的瀏覽器要向WEB服務(wù)器請求N次調(diào)用。而這種請求會降低頁面的加載進(jìn)程。進(jìn)而影響速度（2） 框架問題。在網(wǎng)頁里面使用框架同樣也會降低頁面的加載進(jìn)程，和圖像因素相似，加載一個N個框架也需要請求N次。（3） 表格問題，盡量避免使用表格，尤其是盡量避免使用多重表格，繁雜的表格會影響HTML的執(zhí)行效率（4） 減少注釋，這將會減少文件的大小。進(jìn)而提高加載速度（5） 避免使用長文件名，并且在頁面里盡量使用相對路徑訪問其他文件。（6） 在HTML頁面里面盡量避免使用JavaApplets。例如，如果想使用 JavaApplets來處理動畫，那么可以考慮用GIF文件或者是FLASH來代替，而這將比JavaApplets快很多ASP的因素（1） 盡量把對象變量轉(zhuǎn)換成本地變量，因?yàn)樽x本地變量比讀對象變量要快許多（2） ，盡量使用With...EndWith語句，這也可以提高你的程序運(yùn)行速度（3） 就總體而言，避免使用session變量有助于提高速度，這是因?yàn)椴煌腁SP頁面分別在不同的線程里面運(yùn)行的，而session調(diào)用卻不是這樣的，他是連續(xù)的。（三）數(shù)據(jù)庫優(yōu)化設(shè)計好一個數(shù)據(jù)庫結(jié)構(gòu)可以大大提高程序的運(yùn)行速度，當(dāng)然怎么設(shè)計數(shù)據(jù)庫結(jié)構(gòu)不是本文討論的問題。我們先假設(shè)已經(jīng)設(shè)計好了數(shù)據(jù)庫結(jié)構(gòu)，看看還能做些什么事情來提高程序的運(yùn)行速度?！　∪绻麛?shù)據(jù)庫服務(wù)器和WEB服務(wù)器是同一個，那么最好分開。這樣做可以提高速度?！　∪绻L問數(shù)據(jù)庫，最好不要使用動態(tài)的SQL語句，使用存儲過程或者視圖?！　∮袝r分配適當(dāng)?shù)臄?shù)據(jù)庫buffers會提高程序的性能。這是因?yàn)椋偃缛绻闶褂玫氖荗racle數(shù)據(jù)庫，對于每個連接都需要打開三個sessions。如果能夠處理好這些事情，將會提高程序的性能。（四） ASP的安全問題設(shè)計中主要解決的問題是我們所建的網(wǎng)上超市中ASP的安全性問題，由于網(wǎng)站中ASP是建立Windows平臺上的，因此Windows本身的所有問題都會一成不變地累加到了它的身上。安全性，穩(wěn)定性，跨平臺性都會因?yàn)榕cNT的捆綁而顯現(xiàn)出來。而網(wǎng)上超市本身就需要很高的的安全性，穩(wěn)定性，和廣泛的跨平臺性。保證每位顧客的信息的隱秘，確保網(wǎng)上超市能正常的運(yùn)行。Session與Cookie的安全性網(wǎng)上超市中ASP使用SessionIDCookie跟蹤應(yīng)用程序訪問或會話期間特定的WEB瀏覽器的信息。這就是說，帶有相應(yīng)的HTTP請求被認(rèn)為是來自同一WEB瀏覽器。WEB瀏覽器可以使用SessionIDCookie配置帶有用戶特定會話信息的ASP應(yīng)用程序。本網(wǎng)站就是使用SessionID來跟蹤用戶漫游整個應(yīng)用程序。那么，從網(wǎng)上超市的安全性角度考慮，為了避免SessionIDCookie被盜取，并獲得對合法用戶的會話變量的訪問，WEB服務(wù)器應(yīng)該為每個SessionID指派一個隨機(jī)生成號碼。每當(dāng)用戶的WEB瀏覽器返回一個SessionIDCookie時，服務(wù)器取出SessionID和被賦予的數(shù)字，接著檢查是否與存儲在服務(wù)器上的生成號碼一致。若兩個號碼一致，將允許用戶訪問會話變量。這一技術(shù)的有效性在于被賦予的數(shù)字的長度（64位），此長度在一定程度上保證了SessionID的安全性。 使用身份驗(yàn)證機(jī)制保護(hù)網(wǎng)上超市的ASP頁面 使用身份驗(yàn)證機(jī)制保護(hù)被限制的網(wǎng)站中ASP內(nèi)容您可以要求每個試圖訪問被限制的網(wǎng)站中ASP內(nèi)容的用戶必須要有有效的WindowsNT帳號的用戶名和密碼。每當(dāng)用戶試圖訪問被限制的內(nèi)容時，WEB服務(wù)器將進(jìn)行身份驗(yàn)證，即確認(rèn)用戶身份，以檢查用戶是否擁有有效的網(wǎng)上超市的帳號。WEB服務(wù)器支持以下幾種身份驗(yàn)證方法：l 基本身份驗(yàn)證：提示用戶輸入用戶名和密碼。l WindowsNT請求/響應(yīng)式身份驗(yàn)證：從用戶的WEB瀏覽器通過加密方式獲取用戶身份信息。然而，WEB瀏覽器僅當(dāng)禁止匿名訪問或WindowsNT文件系統(tǒng)的權(quán)限限制匿名訪問時才驗(yàn)證用戶身份。詳細(xì)信息，請參閱WindowsNT的身份驗(yàn)證機(jī)制。保護(hù)元素數(shù)據(jù)庫訪問元數(shù)據(jù)庫的ASP腳本需要WEB服務(wù)器所運(yùn)行的計算機(jī)的管理員權(quán)限。再從遠(yuǎn)程計算機(jī)上運(yùn)行這些腳本時，須經(jīng)過已通過身份驗(yàn)證的連接，如使用WindowsNT請求/響應(yīng)式身份驗(yàn)證方式進(jìn)行連接。目前，僅Microsoft Internet Explorer 。 其他一些維護(hù)系統(tǒng)安全性的小方法：在ASP程序后加個特殊符號，能看到ASP源程序。這些特殊符號包括小數(shù)點(diǎn)，%8,::$DATA。究其根源其實(shí)是WindowsNT特有的文件系統(tǒng)在做怪。NTFS支持包含在一個文件中的多數(shù)數(shù)據(jù)流，而這個包含了所有內(nèi)容的主數(shù)據(jù)流被稱為“DATA”，因此使得在瀏覽器里直接訪問NTFS系統(tǒng)的這個特性而輕易的捕獲在這個文件中的腳本程序成為可能。然而，直接導(dǎo)致::$DATA的原因是由于IIS在解析文件名的時候出了問題，它沒有很好地規(guī)范文件名。解決方法：（1）（ASP仍能執(zhí)行），這樣html、css等文件就不能放在這個目錄下，否則它們將不能被瀏覽。比如，我們做的網(wǎng)上超市存放的目錄bookshop，就設(shè)置的為只讀。從而防止了這種漏洞。（2）安裝最新版本的IISWindows2000。所以，在服務(wù)器上最好采用最新的IIS版本。問題解決：對于IIS自帶的showaspcode的asp程序文件，刪除該文件或者禁止訪問該目錄即可。ASP程序密碼驗(yàn)證漏洞，對輸入的內(nèi)容驗(yàn)證和“，”號的處理。繞過驗(yàn)證直接進(jìn)入ASP頁面，如果用戶知道了一個ASP頁面的路徑和文件名，直接輸入這個ASP頁面的文件名，就有可能通過繞過驗(yàn)證。解決方法：在需要驗(yàn)證的ASP頁面開頭處進(jìn)行相應(yīng)的處理。：受影響的版本：+MicrosoftWinsowsNT2000+解決方法：安裝補(bǔ)丁:下面是最終對IIS系統(tǒng)配置的安全性解決方法：，并安裝NT最新版本的ServicePack5，服務(wù)器的文件系統(tǒng)不要使用FAT，應(yīng)該使用NTFS。把IIS中的sample、scdpts、iisadmin和msdac等web目錄設(shè)置為禁止匿名訪問并限制IP地址。采用防火墻機(jī)制，最簡單的方法有，web服務(wù)器開在前臺，目錄放在后臺。管理員的帳號要設(shè)置得復(fù)雜一些，建議加入特殊字符。將ASP的目錄集中管理，為ASP的程序目錄設(shè)置詳盡的訪問權(quán)限。對于自己知道的NT安全漏洞，都應(yīng)該在自己的機(jī)器上做測試檢查。并及時安裝補(bǔ)丁程序。上面提到的這些都是關(guān)于ASP自身的問題，當(dāng)然在我們所做的網(wǎng)上超市的調(diào)試過程中也出現(xiàn)過一些錯誤，這個就涉及到個人在編程時的習(xí)慣問題。程序設(shè)計不可能避免錯誤的產(chǎn)生，在ASP出現(xiàn)錯誤時，我想強(qiáng)調(diào)的一點(diǎn)就是不光要找出ASP程序中去尋找問題所在，要多方面考慮。例如：是否Vbscript出錯，ADO存在錯誤，還有就是數(shù)據(jù)庫中是否存在諸如字段與ASP程序編寫不一致的問題，等等。這些都需要耐心地去做好，同時養(yǎng)成好的編程習(xí)慣也是一個重要環(huán)節(jié)。我們所做的網(wǎng)上超市都針對以上的漏洞采取了相應(yīng)的措施，確保把錯誤和漏洞降低至最低限度。參考文獻(xiàn)――機(jī)械工程出版社ASP從入門到精通――中國鐵道出版社