【導(dǎo)讀】團(tuán)購(gòu)網(wǎng)是最近發(fā)展起來(lái)的網(wǎng)絡(luò)購(gòu)物模式的一種。其運(yùn)營(yíng)模式中比較好的方向。因此，本設(shè)計(jì)從本地化運(yùn)營(yíng)的角度，采用系統(tǒng)分析法建立一個(gè)。玉林本地團(tuán)購(gòu)網(wǎng)站“玉林團(tuán)購(gòu)網(wǎng)”。該網(wǎng)站系統(tǒng)主要分為前臺(tái)管理和后臺(tái)管理兩大。息、發(fā)起自助團(tuán)購(gòu)活動(dòng)、在論壇上交流心得等功能。為商家和消費(fèi)者提供一個(gè)玉林。本地化的服務(wù)平臺(tái)。

　　

【正文】 rim(request(PwdConfirm)) Question=trim(request(Question)) Answer=trim(request(Answer)) Sex=trim(Request(Sex)) Email=trim(request(Email)) Homepage=trim(request(Homepage)) =trim(request()) MSN=trim(request(MSN)) UserLevel=trim(request(UserLevel)) LockUser=trim(request(LockUser)) tel=trim(request(tel)) if UserName= or strLength(UserName)14 or strLength(UserName)4 then founderr=true errmsg=errmsg amp。 brli請(qǐng)輸入會(huì)員名 (不能大于 14 小于 4)/li else if Instr(UserName,=)0 or Instr(UserName,%)0 or Instr(UserName,chr(32))0 or Instr(UserName,?)0 or Instr(UserName,amp。)0 or Instr(UserName,。)0 or Instr(UserName,)0 or Instr(UserName,39。)0 or Instr(UserName,)0 or Instr(UserName,chr(34))0 or Instr(UserName,chr(9))0 or Instr(UserName, )0 or Instr(UserName,$)0 then errmsg=errmsg+brli會(huì)員名中含有非法字符 /li founderr=true end if end if if Password= or strLength(Password)12 or strLength(Password)6 then founderr=true errmsg=errmsg amp。 brli請(qǐng)輸入密碼 (不能 大于 12 小于 6)/li else if Instr(Password,=)0 or Instr(Password,%)0 or Instr(Password,chr(32))0 or Instr(Password,?)0 or Instr(Password,amp。)0 or Instr(Password,。)0 or Instr(Password,)0 or Instr(Password,39。)0 or Instr(Password,)0 or Instr(Password,chr(34))0 or Instr(Password,chr(9))0 or Instr(Password, )0 or Instr(Password,$)0 then errmsg=errmsg+brli密碼中含有非法字符 /li founderr=true end if 黃小虎 《玉林團(tuán)購(gòu)網(wǎng)》設(shè)計(jì) 34 end if 會(huì)員 添加 窗口設(shè)計(jì)如圖 ： 圖 添加會(huì)員 Add User 會(huì)員管理 窗口設(shè)計(jì)如圖 ： 圖 會(huì)員管理 User Management 管理員添加 在該模塊，管理可以添加新的管理員，還可以對(duì)管理員的權(quán)限進(jìn)行設(shè)置，如 錄入玉林師范學(xué)院本科生畢業(yè)論文 35 員 、 編輯 、 總編 、 管理員 、 超級(jí)用戶(hù) 等， 管理員還可以規(guī)定新添加管理員所管理的欄目。 代碼實(shí)現(xiàn)： username=trim(Request(username)) password=trim(Request(Password)) PwdConfirm=trim(request(PwdConfirm)) purview=trim(Request(purview)) ClassID=trim(request(ClassID)) if username= then FoundErr=True ErrMsg=ErrMsg amp。 brli用戶(hù)名不能為空！ /li end if if password= then FoundErr=True ErrMsg=ErrMsg amp。 brli初始密碼不能為空！ /li end if if PwdConfirmPassword then FoundErr=True ErrMsg=ErrMsg amp。 brli確認(rèn)密碼必須與初始密碼相同！ /li end if if purview= then FoundErr=True ErrMsg=ErrMsg amp。 brli用戶(hù)權(quán)限不能為空！ /li else purview=CInt(purview) end if if FoundErr=True then exit sub end if sql=Select * from Admin where username=39。amp。usernameamp。39。 Set rs=() sql,conn,1,3 if not ( and ) then FoundErr=True ErrMsg=ErrMsg amp。 brli數(shù)據(jù)庫(kù)中已經(jīng)存在此管理員！ /li set rs=nothing exit sub end if password=md5(password) rs(username)=username rs(password)=password rs(purview)=purview 黃小虎 《玉林團(tuán)購(gòu)網(wǎng)》設(shè)計(jì) 36 if purview=4 and ClassID then sql=select ClassMaster from ArticleClass where ClassID in ( amp。 ClassID amp。 ) sql,conn,1,3 do while not if rs(0)= then rs(0)=UserName else rs(0)=rs(0) amp。 | amp。 UserName end if loop end if 管理員添加 窗口設(shè)計(jì)如圖 ： 圖 管理員添加 Admin Add 管理員多了，也需要管理，如對(duì)各個(gè)管理 員的權(quán)限的設(shè)置以能規(guī)定所管理的欄目。 代碼實(shí)現(xiàn)： if rs(LoginTimes) then 玉林師范學(xué)院本科生畢業(yè)論文 37 rs(LoginTimes) else 0 end if % /td td% a href=39。?Action=Modifyamp。ID= amp。 rs(ID) amp。 39。 修改/a if iCount1 and rs(UserName)session(Admin) then a href=39。?Action=Delamp。ID= amp。 rs(ID) amp。 39。 onClick=return confirm(39。確定要?jiǎng)h除此管理員嗎？ 39。)。刪除 /a else end if 管理員管理 窗口設(shè)計(jì)如圖 ： 圖 管理員管理 Admin Manage 網(wǎng)站安全防范 防范常規(guī)漏洞 一般來(lái)說(shuō)，網(wǎng)站的文件夾應(yīng)該是有意義的命名，比如放置數(shù)據(jù)庫(kù)的文件夾，很多程序員都喜歡命名為 data， database 等意義明顯的名稱(chēng)，并且 ACCESS 數(shù)據(jù)庫(kù)也是命名為 或者 ，這樣的習(xí)慣讓網(wǎng)站助于危險(xiǎn)之中。一個(gè)稍微熟悉這些情況的黑客，只需要幾分鐘，就能得到數(shù)據(jù)庫(kù)并且下載。因?yàn)楹芏嗟姆?wù)器是默認(rèn)不解析 mdb 文件的，如果 構(gòu)造這樣的特殊網(wǎng)址，從 瀏覽器 直接訪問(wèn)數(shù)據(jù)庫(kù)文件：，會(huì) 直接 跳出下載 提示框 。 另外一個(gè)常見(jiàn)的安全漏洞就是，在數(shù)據(jù)庫(kù)里面是明文保存密碼的。這樣的話，只要數(shù)據(jù)庫(kù)被下載了，密碼也就為人所知了。而密碼的安全存儲(chǔ)，需要用到 md5 散列加密函數(shù)，網(wǎng)上很多成熟的 CMS 都是使用 16位或者 32 位的 md5 函數(shù)對(duì)密碼進(jìn)行加密轉(zhuǎn)換為密文在存儲(chǔ)到數(shù)據(jù)庫(kù)里面。而 md5 算法是一種不可逆的加密算法，也就是說(shuō)能從明文算出密文，但是卻無(wú)法從密文算出明文 。這樣即使入侵者得到了密文，也不能夠黃小虎 《玉林團(tuán)購(gòu)網(wǎng)》設(shè)計(jì) 38 對(duì)其進(jìn)行逆向解密還原，從而保護(hù)了網(wǎng)站的資料不受篡改。 另外一個(gè)安全隱患就是，網(wǎng)站管理員的密碼過(guò)于簡(jiǎn)單。即使有 md5 保護(hù)，然而這也不足以宣告破解者無(wú)法繼續(xù)入侵。在網(wǎng)上已經(jīng)有一些網(wǎng)站提供 md5密文的還原了，他們的原理是這樣：通過(guò)字典工具進(jìn)行各種密碼的生成，然后將明文和密文對(duì)應(yīng)起來(lái)存儲(chǔ)在數(shù)據(jù)庫(kù) ，前臺(tái)查詢(xún)密文的時(shí)候，后臺(tái)進(jìn)行密文的匹配對(duì)比，如果找到相同的密文，就可以找到其對(duì)應(yīng)的明文了。目前一個(gè)提供破解的網(wǎng)站 已經(jīng)提供有萬(wàn)億級(jí)別的海量數(shù)據(jù)，可查詢(xún) 11位及 11 位以下數(shù)字、 8位小寫(xiě)字母、 7 位小寫(xiě)字母加數(shù)字、 6位大小寫(xiě)字母加數(shù)字等組合 。 所以我建議密碼一定要數(shù)字 +字母 +字符，這目前還是很難破解的，安全性很高。 基于上面幾點(diǎn)安全漏洞的考慮，我將數(shù)據(jù)庫(kù)存儲(chǔ)的文件夾改為一串無(wú)意義的字符 ” 4hfg5a8@po10pd_48s” ，數(shù)據(jù)庫(kù)文件名改為 ” ” ，因?yàn)?文件是受到 iis 保護(hù)的， 從瀏覽器無(wú)法進(jìn)行直接訪問(wèn)。 即使入侵者破解得到了數(shù)據(jù)庫(kù)的路徑，也會(huì)被 iis 攔截，從而保護(hù)了 數(shù)據(jù)庫(kù)。退一步來(lái)說(shuō)，即使入侵者通過(guò)某種特殊的手段下載了數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)里面的密碼字段 也 是經(jīng)過(guò) 不可逆 加密存儲(chǔ)的， 密碼 明文里面 包含 有字符的 ，經(jīng)過(guò) MD5 加密之后的字符串 基本上是破解不了，所以他也不得不中斷入侵。 防范注入漏洞 很多網(wǎng)站程序員都不注意讀取數(shù)據(jù)庫(kù)的代碼安全，所以導(dǎo)致了很多程序都存在注入漏洞。常見(jiàn)的測(cè)試漏洞是否存在的方法是：在進(jìn)行動(dòng)態(tài)調(diào)用的 url 后面提交單引號(hào) ” ‘ ” ，如果出現(xiàn)錯(cuò)誤，說(shuō)明程序?qū)Ξ惓?shù)據(jù)無(wú)法正確處理。 如果程序不能處理這樣惡意構(gòu)造的的變形 URL，會(huì)給網(wǎng)站帶來(lái)極大風(fēng)險(xiǎn)。 如果網(wǎng)站有 注入漏洞，根本不需要找到數(shù)據(jù)庫(kù)的存放地址，直接在瀏覽器通過(guò)構(gòu)造特殊的 URL就可以進(jìn)行注入查詢(xún)得道管理員的賬號(hào)和密碼。然后登陸后臺(tái)即可進(jìn)行網(wǎng)站的數(shù)據(jù)破壞。而網(wǎng)上的一些防注入方法并不是很理想，只對(duì) GET和 POST 注入進(jìn)行了防范，沒(méi)有對(duì)隱藏的 COOKIES 注入進(jìn)行防范攔截。所以我參考網(wǎng)上的防注入思路，寫(xiě)了一個(gè)全方位的防注入文件 。 只要在 這個(gè)數(shù)據(jù)庫(kù)連接文件里面包含 即可實(shí)現(xiàn)防注入。 玉林師范學(xué)院本科生畢業(yè)論文 39 主要代碼如下： dim BadStr,myarry str=lcase(str) BadStr = and 小虎 (小虎 )小虎 exec 小虎 insert 小虎 select 小虎 delete小虎 update 小虎 count 小虎 chr 小虎 mid 小虎 master 小虎 truncate 小虎 cmd 小虎char 小虎 declare 小虎 39。小虎 。小虎 ~小虎 !小虎 小虎 $小虎 ^小虎 *小虎 +小虎 \小虎’小虎‘小虎 amp。chr(34)amp。 myarry=split(BadStr,小虎 ) for i=0 to ubound(myarry) if instr(str,myarry(i))0 then (本站友情提醒您 ^_^：請(qǐng)不要在提交參數(shù) :amp。stramp。中包含如下字符： amp。myarry(i)amp。br以免影響您對(duì)本站的正常訪問(wèn)！ ) (Script Language=javascriptalert(39。小虎提醒您：請(qǐng)不要修改提交參數(shù)！ 39。)。(1)。/Script) () end if next 定義注入所需要的 非法 關(guān)鍵字， 包括 and、 exec、 select、‘、 insert 等，然后使用 split 分離出單個(gè)非法關(guān)鍵字，進(jìn)行對(duì)比。如果截獲的數(shù)據(jù)庫(kù)查詢(xún) URL 中有非法關(guān)鍵字，則進(jìn)行攔截并彈出腳本提示。 注入攔截 窗口設(shè)計(jì)如圖 ： 圖 注入攔截提示 Interception injection prompt 防范上傳漏洞 上傳漏洞是由于上傳腳本對(duì)上傳的文件過(guò)濾不嚴(yán)，造成可以上傳 asp 木馬或者黃小虎 《玉林團(tuán)購(gòu)網(wǎng)》設(shè)計(jì) 40 asa木馬 php木馬等。上傳了木馬之后，不僅僅是網(wǎng)站的數(shù)據(jù)被破壞而已，連網(wǎng)站程序也難以幸免。所以我們?cè)L問(wèn)一個(gè)網(wǎng)頁(yè)，有 時(shí)候殺毒軟件會(huì)