【導讀】一種新方式，易趣、淘寶等購物網(wǎng)站已是眾多網(wǎng)上購物者喜歡光顧的地方。PHP、ASP等技術早已使服務器端的數(shù)據(jù)庫服務和應用服務成為所有網(wǎng)站的家常便飯。有跨平臺特性的Java更是震動了Web世界?；朔掌鞫硕鄬悠髽I(yè)應用的開發(fā)，已經(jīng)成為電子商務網(wǎng)站的事實標準。基于商務網(wǎng)站的建設和web技術的發(fā)展，采用J2EE平臺開發(fā)網(wǎng)上購物平臺。采用APACHE作為Web服務器和應用服務器，后端連接MicrosoftSQLServer數(shù)據(jù)庫；網(wǎng)。站中主要經(jīng)營服裝類，發(fā)布最新的服飾資訊、流行趨勢和各類經(jīng)典服裝。從此以后，通過互聯(lián)網(wǎng)看到的將不僅僅是文字，互聯(lián)網(wǎng)有了圖片，后來又有了音頻、動畫甚至視頻。據(jù)有機地鏈接起來，使互聯(lián)網(wǎng)上的資源實現(xiàn)了共享。你只需要點擊鼠標就可以瀏覽來自世。界各地的豐富的、直觀的信息，一個不懂電腦的人也可以很快成為Inter行家。JavaScript和VBScript可以嵌入在HTML中實現(xiàn)一些客戶。統(tǒng)、應用程序的通信，動態(tài)生成超文本，于是網(wǎng)頁活了起來。但CGI的運用需要具有一定

　　

【正文】 瀏覽挑選 N N Y 注 冊 鄭州經(jīng)貿職業(yè)學院計算機系畢業(yè)論文 ? 22 ? customerEmail Varchar 50 customerPwd Varchar 20 joinDate Datetime 8 customerSex Char 10 Y pwdQuestion Varchar 20 pwdAnswer varchar 20 vip char 10 Y Classtable(顧客等級 ) 列名 數(shù)據(jù)類型 長度 主鍵 允許空 ClasstablerautoID Int 4 ClassID Varchar 50 Y Customerhistory（顧客消費信息） 列名 數(shù)據(jù)類型 長度 主鍵 允許空 OrderNumber Int 4 Y orderID Int 4 Username Varchar 50 Y customerAddress Varchar 50 customerEmail Varchar 50 customerPwd Varchar 20 joinDate Datetime 8 customerSex Char 10 Y pwdQuestion Varchar 20 pwdAnswer varchar 20 vip char 10 Y customerole 列名 數(shù)據(jù)類型 長度 主鍵 允許空 userName varchar 50 roleID char 10 Y Ordertable(定單 ) 列名 數(shù)據(jù)類型 長度 主鍵 允許空 鄭州經(jīng)貿職業(yè)學院計算機系畢業(yè)論文 ? 23 ? orderID int 4 Y productID char 10 quantity Int 4 totalprice Int 4 deliveraddress Varchar 50 delivertelephone Varchar 50 fullfilltime Int 4 Y Productioninfo(商品信息 ) 列名 數(shù)據(jù)類型 長度 主鍵 允許空 productID varchar 50 Y Productclass Varchar 50 Y Retailprice Money 8 Price Money 8 Supplier Varchar 50 Y Dicount Nchar 10 Y Sale Char 10 Y Addate Datetime 8 Stock Int 4 Sell Int 4 Y Visits Int 4 Y Simgurl Varchar 50 Y Bimgurl Varchar 50 Y Commend Bit 1 Y Morw Char 10 Y Trademark Varchar 50 Y Represent Varchar 50 Y Subclass(商品子類 ) 列名 數(shù)據(jù)類型 長度 主鍵 允許空 subautoID Int 4 subclassID Varchar 50 fatherclass Varchar 50 鄭州經(jīng)貿職業(yè)學院計算機系畢業(yè)論文 ? 24 ? 五 、 安全分析 （一） 概述 本章重點在于對 jsp安全問題進行分類闡述和部分解決的方案。 JSP 技術允許把 Java 代碼邏輯嵌如到 HTML 和 XML 文檔之內，為創(chuàng)建和管理動態(tài) WWW內容帶來了方便。 JSP 頁面由 JSP 引擎預先處理并轉換成 Java Servlet，此后如果出現(xiàn)了對 JSP頁面的 請求， WEB服務器將用相應的 Servlet輸出結果作為應答。雖然 JSP和 Servlet在功能上是等價的，但是和 Servlet 相比， JSP 的動態(tài)內容生成方法恰好相反。 JSP 是把Java 代碼嵌入到文檔之中，而不是把文檔嵌入到 Java 應用之中。為訪問外部功能和可重用的對象， JSP 提供了一些用來和 JavaBean 組件交互的額外標記，這些標記的語法和 HTML標記相似。 HTML 語法屬于 JSP語法的一個子集，但反過來不一定正確， JSP 允許在標記內嵌入其他標記，這種結構增加了安全問題的復雜性，其包含的相互協(xié)作的子系統(tǒng)之間的 交互常常是安全隱患的根源 。 （二） 典型分析 下列描述了幾種經(jīng)典的 JSP 安全漏洞： 1． 源代碼暴露類 源代碼暴露類別主要指的是程序源代碼會以明文的方式返回給訪問者。 我們知道不管是 jsp還是 asp、 php 等動態(tài)程序都是在服務器端執(zhí)行的，執(zhí)行后只會返回給訪問者標準的 html 等代碼。這是理論上的東西，實際運行起來由于服務器內部機制的問題就有可能引起源代碼暴露的漏洞。 ① 添加特殊后綴引起 jsp 源代碼暴露 在 jsp 中也存在著和 asp 這些漏洞類似的問題，如 IBM Websphere Application Server 、 BEA Systems Weblogic 、 等 jsp文件后綴大寫漏洞； jsp 文件后加特殊字符如 的 %8 ../漏洞； ServletExec 的 %2E、 +漏洞等等。 下在瀏覽器中本來是 行，但是如果將 改為 或者 等等試試看，你會發(fā)現(xiàn)瀏覽器會提示你下載這個文件，下載后源代碼可以看個一干二凈。 原因是 jsp 是 大小寫敏感的， Tomcat 只會將小寫的 jsp 后綴的文件當作是正常的 jsp 文件來執(zhí)行，如果大寫了就會引起 Tomcat 將 當作是一個可以下載的文件讓客戶下載。 解決辦法：一是在服務器軟件的網(wǎng)站上下載補??；第二種解決方法，在 jsp 中我們可以參考 IIS 的解決方法，在服務器設置中添加一些映射如 .JSP 、 .Jsp、 .jsp%2E 等，將他們映射到一個自己寫的 servlet，這個 Servlet 的唯一功能就是將請求導向一個自定義的類似 404 not found 的出錯頁面。 ② 插入特殊字符串引起 jsp 源代 碼暴露 還有一種是插入特殊字符串引起的漏洞， BEA WebLogic Enterprise 文件路徑開鄭州經(jīng)貿職業(yè)學院計算機系畢業(yè)論文 ? 25 ? 頭為 /file/ 的漏洞、 IBM WebSphere 的 /servlet/file/文件開頭漏洞等等。 在 IBM WebSphere 中，如果一個請求文件的 URL 為: 將看到這個文件的源代碼。 2． 遠程程序執(zhí)行類 這類漏洞的特點就是可以通過 url 地址在瀏覽器中執(zhí)行任意服務器上的命令和程序，從而引起安全問題。如 Allaire JRUN 遠程執(zhí)行任意命令漏洞、 iPla Web Server 存在一個緩沖區(qū)溢出漏洞等等。 在 Allaire 的 JRUN 服務器 上輸入下面的 url 地址 WEB 目錄以外的文件，如果是 exe 文件，還有可能會 引起執(zhí)行。 這類問題的原因是，如果 URL 請求的目標文件使用了前綴 /servlet/，則 JSP 解釋執(zhí)行功能被激活。這時在用戶請求的目標文件路徑中使用 ../，就有可能訪問到 WEB 服務器上根目錄以外的文件。目標主機上利用該漏洞請求用戶輸入產(chǎn)生的一個文件，將嚴重威脅到目標主機系統(tǒng)的安全。 其主要的解決方法也即使最優(yōu)秀、最簡單的方法就是安裝最新的補丁。 3． 其他類別 這些類別的范圍就有點大了，可以包括數(shù)據(jù)庫如 SQL Server、 Oracle 、 DB2 等的漏洞，也可以包括操作系統(tǒng)如 WindowsNT/202 Linux 等的漏洞。這些東西的漏洞可以說都是致命的，如利用 Linux 的某些漏洞可以輕易獲得管理員權限來遠程控制服務器，獲得系統(tǒng)的完全控制權限，這樣要獲得 jsp 源代碼或者摧毀服務器比踩死一只螞蟻還要輕松的多。 另外表格傳輸?shù)?METHOD 也是我們值得注意的問題，如果用 GET 方法，輸入的數(shù)據(jù)則加在 URL 后面，而且是明文可見的，這對于傳輸敏感數(shù)據(jù)來說，這種編碼方法是不適合的，應該使用 POST 方法，再加上一種合適的加密機制（如 SSL）。 （三） 安全啟示 通過上面內容可以看出 jsp 同 asp 一樣還是存在著很多安全 上的問題的，客觀的說，服務器軟件的開發(fā)商在內部測試中不可能將系統(tǒng)中的所有 bug 找出來，即使發(fā)布了軟件后，被發(fā)現(xiàn)的漏洞也只會是其中的很小一部分，將來還會不斷的有新的安全問題出現(xiàn)，所以我們必須時刻提高警惕。 鄭州經(jīng)貿職業(yè)學院計算機系畢業(yè)論文 ? 26 ? 六 、 結論 （一） 工作總結 Inter 的普及為電子商務、網(wǎng)上交易提供了條件，而網(wǎng)站的構想和建設是十分基礎和重要的一環(huán)?，F(xiàn)在購物網(wǎng)站并沒有得到充分的共享，結合商務網(wǎng)站的特點合理而有效地建設購物網(wǎng)站的信息發(fā)布平臺成為十分有意義的課題。 本文做了以下幾個方面的工作： 1. 分析了現(xiàn)有的一些購物 網(wǎng)站。由于建設比較規(guī)范的多是 B2C 網(wǎng)站，所以我們的分析以這些網(wǎng)站為主。我也部分參考了 163 易趣、 TAOBAO 等網(wǎng)站。在參考這些網(wǎng)站建設的基礎上，我們給出了自己的問題定義。 2. 對 J2EE 技術進行了綜述。本文選擇 J2EE 平臺來開發(fā) Web 服務和應用服務，所以深入地了解 J2EE 的各項核心技術及其應用是十分重要的。 （二） 未來的工作 隨著網(wǎng)絡的更加普及和帶寬的增大，以后可以在網(wǎng)上進行的交易活動將更加頻繁。我們的使命也是提供更豐富和易用的技術支持，包括： ，提高平臺的易用性、擴展性和效率 。由于是第一次開發(fā) JSP 應用，特別是 J2EE 技術的涉及，對很多技術的了解還不深入，設計難免粗糙。 ?，F(xiàn)在我們的購物網(wǎng)站還不夠豐富，某種程度上還不夠吸引用戶。以后隨著產(chǎn)品數(shù)量的增多，可能會有大量的 Flash，視頻等添加進來，也可能會有更好用的多媒體形式，來介紹產(chǎn)品，吸引顧客。如何改進是亟待研究的課題。 增加在線拍賣的支持，向“模擬買賣”發(fā)展。目前已經(jīng)存在很多商業(yè)的購物網(wǎng)站支持在線拍賣。這需要更先進的技術和同步，包括好多復雜功能的介入，硬件上也需要升級。 鄭州經(jīng)貿職業(yè)學院計算機系畢業(yè)論文 ? 27 ? 致 謝 在本次畢業(yè)設計中，曾遇到過不少問題，如果單靠我個人的努力，很難按時完成畢業(yè)設計，在此，我衷心感謝我的指導老師 — 王艷淑 老師。他認真負責的工作態(tài)度，嚴謹?shù)闹螌W精神和深厚的理論水平都使我獲益非淺。他無論在理論上還是在實踐中，都給與我無私幫助和悉心的教導，使我的畢業(yè)設計得以順利地按時完成。 這次設計從開始到現(xiàn)在，持續(xù)了兩個月，由于時間倉促、經(jīng)驗不足等因素，所以存在的問題還比較多，敬請各位老師和同學批評指正。我在虛心接受大家的意見和建議的同時，還會更努力地將其完善。因為，畢業(yè)設計的結束并不意味著學習的結束，而是 新的學習的開始和延續(xù)。 最后，感謝所有關心和支持我的同學們和老師。 鄭州經(jīng)貿職業(yè)學院計算機系畢業(yè)論文 ? 28 ? 參考文獻 [1] 汪曉平、鐘軍 .JSP 網(wǎng)絡開發(fā)技術 [M].北京：人民郵政出版社， 2021 年 12 月第二版 . [2] 張一鳴、桂林、張家祥 .個人網(wǎng)站組建實用教程 [M].西安：電子科技大學出版社， 2021 年 1月第一版 . [3] 龍馬工作室 .典型網(wǎng)站建設 [M].北京：人民郵電出版社， 2021 年 8 月第一版 . [4] 龍馬工作室 .JSP+ SQL Server 組建動態(tài)網(wǎng)站 [M].北京：人民郵電 出版社， 2021 年 8 月第一版 .