【正文】 確信輸入的內(nèi)容只包含合法的數(shù)據(jù)。數(shù)據(jù)檢查應(yīng)當(dāng)在客戶端和服務(wù)器端都執(zhí)行——之所以要執(zhí)行服務(wù)器端驗證，是為了彌補客戶端驗證機制脆弱的安全性。在客戶端，攻擊者完全有可能獲得網(wǎng)頁的源代碼，修改驗證合法性的腳本(或者直接刪除腳本)，然后將非法內(nèi)容通過修改后的表單提交給服務(wù)器。因此，要保證驗證操作確實已經(jīng)執(zhí)行，唯一的辦法就是在服務(wù)器端也執(zhí)行驗證。(4) 將用戶登錄名稱、密碼等數(shù)據(jù)加密保存加密用戶輸入的數(shù)據(jù)，然后再將它與數(shù)據(jù)庫中保存的數(shù)據(jù)比較，這相當(dāng)于對用戶輸入的數(shù)據(jù)進行了“消毒”處理，用戶輸入的數(shù)據(jù)不再對數(shù)據(jù)庫有任何特殊的意義,從而也防止了攻擊者注入SQL命令.(5) 檢查提取數(shù)據(jù)的查詢所返回的記錄數(shù)量如果程序只要求返回一個記錄，但實際返回的記錄卻超過一行，那就當(dāng)作出錯處理。將數(shù)據(jù)庫中的敏感數(shù)據(jù)(如管理員密碼，教師密碼等)以明文的形式保存在數(shù)據(jù)庫中具有一定的安全隱患。當(dāng)數(shù)據(jù)庫一旦被攻擊者攻破后，攻擊者將獲得所有數(shù)據(jù)庫數(shù)據(jù)。為了避免這個問題，數(shù)據(jù)庫中的敏感數(shù)據(jù)將經(jīng)過哈希算法處理后以摘要的形式存儲在數(shù)據(jù)庫中。哈希算法將根據(jù)數(shù)據(jù)庫中的敏感數(shù)據(jù)生成一串哈希值，該哈希值是不可逆的，即無法根據(jù)哈希值獲得數(shù)據(jù)庫中的敏感數(shù)據(jù)的明文。因此即使攻擊者獲得了哈希值，也是以任意管理員或者教師的身份登錄系統(tǒng)或?qū)?shù)據(jù)庫進行破壞。對密碼做哈希變換的代碼如下（其中使用了SHA1作為哈希算法）：UnicodeEncoding UE=new UnicodeEncoding()。byte [] pwd = ()。 SHA1Managed sha =new SHA1Managed()。byte[] HashedPwd = (pwd)。除了手動備份數(shù)據(jù)庫以外，最好采用數(shù)據(jù)庫自動備份，備份時間頻率可根據(jù)實際情況而定，而且備份的數(shù)據(jù)最好儲存在不同的硬盤上（最好存在另外一臺計算機上），這樣做最大的好處就在于即使系統(tǒng)在被黑客攻擊或系統(tǒng)崩潰的情況下不會丟失所有的客戶資料和重要數(shù)據(jù)。 本設(shè)計的數(shù)據(jù)庫驗證方式應(yīng)用程序端連接數(shù)據(jù)庫時使用的數(shù)據(jù)庫驗證方式為SQL Server驗證。數(shù)據(jù)庫連接串存儲在系統(tǒng)配置文件中。第六章 系統(tǒng)測試軟件測試就是使用人工或自動手段來運行或測定某個系統(tǒng)的過程，檢驗它是否完成功能需求以及是否出現(xiàn)錯誤。為了將本系統(tǒng)的軟件錯誤降至最低，進一步提高系統(tǒng)的可靠性，并對系統(tǒng)進行相關(guān)測試，測試方法如下：靜態(tài)測試　 使用軟件對代碼進行手誤排查，或使用能高亮顯示代碼的工具（如：Editplus）對代碼進行人工檢查。動態(tài)測試 （1）測試系統(tǒng)的基本功能是否滿足要求，是否遺漏功能，在接口上能否正確地接收輸入數(shù)據(jù)，能否產(chǎn)生正確的輸出信息。 （2）首先使用語句覆蓋法，將每一行代碼執(zhí)行一次，然后執(zhí)行條件覆蓋，盡量使每一個判定的分支都執(zhí)行一次，條件許可的情況還可以執(zhí)行路徑覆蓋法來發(fā)現(xiàn)錯誤。最后對某些代碼可能潛在的問題進行測試。 測試環(huán)境測試人：王磊、韓磊、向玖龍、陳星明地點：322寢室客戶端要求：，1G內(nèi)存，60G硬盤， Microsoft Windows XP SP2版。服務(wù)器要求：CPU為AMD2000,內(nèi)存1G，硬盤120G， Microsoft Windows XP SP2版，SQL Server2005。 測試內(nèi)容(1)功能性測試測試目的：通過測試了解系統(tǒng)在功能上存在的問題，進而尋找解決方法，進一步提高系統(tǒng)的實用性。(2)性能測試測試目的：通過測試了解系統(tǒng)在性能上存在的問題，進而尋找解決方法，進一步提高系統(tǒng)的性能。需要解決的問題：u 解決服務(wù)器響應(yīng)速度問題u 解決防止數(shù)據(jù)庫一致性錯誤和輸出錯問題(3)安全性測試測試目的：通過測試了解系統(tǒng)在安全上存在的問題，進而尋找解決方法，進一步提高系統(tǒng)的安全。需要解決的問題：u 解決用戶名和密碼的大小寫問題u 解決系統(tǒng)超時的問題 測試情況四人分別以管理員身份登陸系統(tǒng)，測試每個模塊的功能。用鼠標(biāo)多次或重復(fù)單擊某些控件、按鈕。能正常實現(xiàn)添加、刪除、修改、查詢等功能，保證操作過程中，能正常進入系統(tǒng)。 測試結(jié)果(1)功能性測試測試目的：通過測試了解系統(tǒng)在功能上存在的問題，進而尋找解決方法，進一步提高系統(tǒng)的實用性。通過四人的測試，基本功能都能正實現(xiàn)。測試性能如下：具體測試結(jié)果如表61至 64示：表61留言模塊測試結(jié)果測試報告書項目名稱基于B/S模式的信息工程系網(wǎng)站的設(shè)計與實現(xiàn)模塊名稱留言模塊模塊負責(zé)人張雙全測試者向玖龍測試結(jié)果錯誤編號錯誤描述錯誤原因及解決方法A001前臺留言回復(fù)欄的內(nèi)容不能全部顯示出來該現(xiàn)象主要是在設(shè)計留言板時，將留言板回復(fù)欄設(shè)置了一個高度，刪除高度后即顯示出來了錯誤編號錯誤描述錯誤原因及解決方法A002后臺審核留言時,不能審核成功在設(shè)置更新(Update)條件時，即能成功進行審核留言了表62 系統(tǒng)管理模塊測試結(jié)果測試報告書項目名稱基于B/S模式的信息工程系網(wǎng)站的設(shè)計與實現(xiàn)模塊名稱系統(tǒng)管理模塊負責(zé)人張雙全測試者陳星明測試結(jié)果錯誤編號錯誤描述錯誤原因及解決方法B001進行數(shù)據(jù)備份時，不能成功備份備份目標(biāo)地址不存在,將目錄修改為根目錄下的文件夾即解決表 63 用戶管理測試結(jié)果測試報告書項目名稱基于B/S模式的信息工程系的設(shè)計與實現(xiàn)模塊名稱用戶管理模塊負責(zé)人張雙全測試者王磊測試結(jié)果錯誤編號錯誤描述錯誤原因及解決方法C001在進行學(xué)生信息導(dǎo)入時，不能導(dǎo)入成功表64 在線交流測試結(jié)果測試報告書項目名稱基于B/S模式的信息工程系的設(shè)計與實現(xiàn)模塊名稱在線交流模塊負責(zé)人張雙全測試者韓磊測試結(jié)果錯誤編號錯誤描述錯誤原因及解決方法C001無錯誤，測試成功，能夠進行正常的在線聊天。無第七章 系統(tǒng)維護信息工程系網(wǎng)站的維護是其生存周期的最后一個階段，也是時間最長、花費最多、困難最大的階段。在此階段要對網(wǎng)站進行校正性維護，有些缺陷只有在系統(tǒng)正常運行一定時間后才會發(fā)現(xiàn)。功能性維護，完善系統(tǒng)部分較弱的功能以適應(yīng)用戶的需求。安全性維護，要完善黑客利用系統(tǒng)漏洞來對系統(tǒng)進行攻擊和破壞。預(yù)防性維護，為系統(tǒng)的可維護性和可靠性進行修改。適應(yīng)性維護，根據(jù)信息工程系的發(fā)展，開發(fā)出新的功能，來使本系統(tǒng)適應(yīng)信息系的使用要求。第八章 總結(jié)信息工程系網(wǎng)站系統(tǒng)，它是一套基于B/S結(jié)構(gòu)的信息管理系統(tǒng)。本系統(tǒng)采用集成開發(fā)環(huán)境VS2005和SQL Server 2005結(jié)合開發(fā)而成。系統(tǒng)開發(fā)歷時一個半月，雖然在系統(tǒng)的開發(fā)過程中遇到了許多的問題，但是在老師和同學(xué)們的幫助下，系統(tǒng)終于順利完成。本系統(tǒng)在功能方面實現(xiàn)了文字新聞、學(xué)生信息、教師信息、班級信息、專業(yè)信息、招生就業(yè)信息、公告信息等的添加、修改、刪除以及對留言板的審核、回復(fù)、刪除等操作。對文字新聞、學(xué)生信息、教師信息、班級信息等方面做的比較詳細，但在線交流就相對比較簡單。在安全方面，使用了MD5加密算法，防止SQL語句注入，表單提交字符串長度限制等，防止某些人對網(wǎng)站進行流量攻擊或者惡意破壞，這種方法可以為系統(tǒng)提供有效的安全措施。但網(wǎng)絡(luò)安全非常復(fù)雜，不可能消除全部安全隱患，要解決這些問題還需要對網(wǎng)絡(luò)安全進行更深入的學(xué)習(xí)才行，當(dāng)前專業(yè)知識有限，要解決還有一定的難度。本系統(tǒng)雖然現(xiàn)在還有部分瑕疵，但是它代表了我大學(xué)三年的夢想，記得大一進校時，看過第一屆軟件設(shè)計大賽，當(dāng)時非常羨慕我的師兄能夠編寫出那么出色的系統(tǒng)，希望自己有一天也能夠做出一個好的系統(tǒng)來，現(xiàn)在夢想總算基本實現(xiàn)了。當(dāng)然，在以后的日子里，我也希望能夠編寫出真正屬于自己的網(wǎng)站來。這次畢業(yè)設(shè)計讓我學(xué)習(xí)了很多知識，這是在實踐當(dāng)中才能夠吸取到的。同時發(fā)現(xiàn)自身的很多缺點，很多問題在同學(xué)的幫助和自己摸索下得到解決，但也存在很多的不足需要今后工作中不斷彌補來完善自己。致 謝論文的完成標(biāo)志著我的大學(xué)生活即將結(jié)束，也意味著，新的生活又將開始了。在做畢業(yè)設(shè)計與寫論文的這幾個月的時間里，我首先要感謝我的指導(dǎo)老師陳玲老師，她給我的設(shè)計與論文提出了不少的寶貴的建議，給了我很大幫助。其次我要感謝的就是我的同班同學(xué)們，我特別要感謝蔣佳奇、何清松、趙偉，他們給我的畢業(yè)設(shè)計提出了十分寶貴的建議，也幫我解決了很多技術(shù)上的難題。最后，我要感謝我的母校，謝謝她給了我這個學(xué)習(xí)的平臺，我更要感謝信息工程系的老師們，謝謝你們?nèi)陙韺ξ业慕逃c培養(yǎng)。我再次由衷的感謝所有陪伴我走過三年的所有朋友，謝謝你們！參考文獻[1]《信息工程系網(wǎng)站的實現(xiàn)》 admin 網(wǎng)站建設(shè)論壇 [2]《JavaScript HTML精通網(wǎng)頁編程》 郭勝 [3]《VISUAL STUDIO 2005技術(shù)大全》 (美)鮑爾//斯內(nèi)爾 [4]《Photoshop CS圖像處理基礎(chǔ)教程》 周建國　人民郵電出版社　.[5]《》柴晟 北京航空航天大學(xué)出版社 [6]《》 程不功 清華大學(xué)出版社 [7]《軟件測試技術(shù)》 徐芳 機械工業(yè)出版社 [8]《ASP 高級編程》　Richard Anderson Chris Blexrud　機械工業(yè)出版社　[9] 馬駿 人民郵電出版社 200791[10]清華大學(xué)計算機科學(xué)與技術(shù)系網(wǎng)站：//[11]東南大學(xué)計算機科學(xué)與工程系網(wǎng)站：//[12]上海交通大學(xué)計算機科學(xué)與工程系：//