【正文】 上傳了木馬之后，不僅僅是網(wǎng)站的數(shù)據(jù)被破壞而已，連網(wǎng)站程序也難以幸免。如果截獲的數(shù)據(jù)庫查詢 URL 中有非法關(guān)鍵字，則進(jìn)行攔截并彈出腳本提示。(1)。小虎提醒您：請不要修改提交參數(shù)！ 39。myarry(i)amp。stramp。chr(34)amp。小虎 。 只要在 這個數(shù)據(jù)庫連接文件里面包含 即可實現(xiàn)防注入。而網(wǎng)上的一些防注入方法并不是很理想，只對 GET和 POST 注入進(jìn)行了防范，沒有對隱藏的 COOKIES 注入進(jìn)行防范攔截。 如果網(wǎng)站有 注入漏洞，根本不需要找到數(shù)據(jù)庫的存放地址，直接在瀏覽器通過構(gòu)造特殊的 URL就可以進(jìn)行注入查詢得道管理員的賬號和密碼。常見的測試漏洞是否存在的方法是：在進(jìn)行動態(tài)調(diào)用的 url 后面提交單引號 ” ‘ ” ，如果出現(xiàn)錯誤，說明程序?qū)Ξ惓?shù)據(jù)無法正確處理。退一步來說，即使入侵者通過某種特殊的手段下載了數(shù)據(jù)庫，數(shù)據(jù)庫里面的密碼字段 也 是經(jīng)過 不可逆 加密存儲的， 密碼 明文里面 包含 有字符的 ，經(jīng)過 MD5 加密之后的字符串 基本上是破解不了，所以他也不得不中斷入侵。 基于上面幾點安全漏洞的考慮，我將數(shù)據(jù)庫存儲的文件夾改為一串無意義的字符 ” 4hfg5a8po10pd_48s” ，數(shù)據(jù)庫文件名改為 ” ” ，因為 文件是受到 iis 保護(hù)的， 從瀏覽器無法進(jìn)行直接訪問。目前一個提供破解的網(wǎng)站 已經(jīng)提供有萬億級別的海量數(shù)據(jù)，可查詢 11位及 11 位以下數(shù)字、 8位小寫字母、 7 位小寫字母加數(shù)字、 6位大小寫字母加數(shù)字等組合 。即使有 md5 保護(hù)，然而這也不足以宣告破解者無法繼續(xù)入侵。這樣即使入侵者得到了密文，也不能夠黃小虎 《玉林團(tuán)購網(wǎng)》設(shè)計 38 對其進(jìn)行逆向解密還原，從而保護(hù)了網(wǎng)站的資料不受篡改。而密碼的安全存儲，需要用到 md5 散列加密函數(shù)，網(wǎng)上很多成熟的 CMS 都是使用 16位或者 32 位的 md5 函數(shù)對密碼進(jìn)行加密轉(zhuǎn)換為密文在存儲到數(shù)據(jù)庫里面。 另外一個常見的安全漏洞就是，在數(shù)據(jù)庫里面是明文保存密碼的。一個稍微熟悉這些情況的黑客，只需要幾分鐘，就能得到數(shù)據(jù)庫并且下載。)。 onClick=return confirm(39。 rs(ID) amp。?Action=Delamp。 39。ID= amp。 代碼實現(xiàn)： if rs(LoginTimes) then 玉林師范學(xué)院本科生畢業(yè)論文 37 rs(LoginTimes) else 0 end if % /td td% a href=39。 | amp。 ClassID amp。 Set rs=() sql,conn,1,3 if not ( and ) then FoundErr=True ErrMsg=ErrMsg amp。usernameamp。 brli用戶權(quán)限不能為空！ /li else purview=CInt(purview) end if if FoundErr=True then exit sub end if sql=Select * from Admin where username=39。 brli初始密碼不能為空！ /li end if if PwdConfirmPassword then FoundErr=True ErrMsg=ErrMsg amp。 代碼實現(xiàn)： username=trim(Request(username)) password=trim(Request(Password)) PwdConfirm=trim(request(PwdConfirm)) purview=trim(Request(purview)) ClassID=trim(request(ClassID)) if username= then FoundErr=True ErrMsg=ErrMsg amp。)0 or Instr(Password,)0 or Instr(Password,39。 brli請輸入密碼 (不能 大于 12 小于 6)/li else if Instr(Password,=)0 or Instr(Password,%)0 or Instr(Password,chr(32))0 or Instr(Password,?)0 or Instr(Password,amp。)0 or Instr(UserName,)0 or Instr(UserName,39。 brli請輸入會員名 (不能大于 14 小于 4)/li else if Instr(UserName,=)0 or Instr(UserName,%)0 or Instr(UserName,chr(32))0 or Instr(UserName,?)0 or Instr(UserName,amp。 set rsReg=() sqlReg,conn,1,3 if not( and ) then 如果已經(jīng)存在相同的用戶名，則彈出提示，終止操作。 Username amp。 主要代碼： 玉林師范學(xué)院本科生畢業(yè)論文 33 判斷數(shù)據(jù)庫是否已經(jīng)有相同用戶名： sqlReg=select * from [User] where UserName=39。 /td end if 窗口設(shè)計如圖 ： 圖 欄目排序 Column sorting 用戶管理 該模塊可以實現(xiàn)快速查找會員，可以通過關(guān)鍵字高級查找想找的會員。 input type=submit name=Submit value=修改 /td/form else td width=39。 input type=hidden name=cRootID value=amp。/option next /select input type=hidden name=ClassID value=amp。amp。 select name=MoveNum size=1option value=0向下移動 /option 黃小虎 《玉林團(tuán)購網(wǎng)》設(shè)計 32 for i=1 to iCountj option value=amp。td width=39。 method=39。 /td end if if iCountj then form action=39。 input type=submit name=Submit value=修改 /td/form else td width=39。 input type=hidden name=cRootID value=amp。/option next /select input type=hidden name=ClassID value=amp。amp。 select name=MoveNum size=1option value=0向上移動 /option for i=1 to j1 option value=amp。td width=39。 method=39。 主要代碼： if j1 then form action=39?？梢赃M(jìn)行主欄目的添加和子欄目的擴(kuò)展。 因為我們這只是參考其他網(wǎng)站所使用的欄目，并不一定完全適合本地的團(tuán)購市場，所以一些欄目還需要在后期做適當(dāng)修改變動。 ParentID amp。 如果選擇作為一級欄目，就會添加為主欄目，在主欄目下面可以添加子欄目 。ShowTextamp。infotypeamp。ID) 窗口設(shè)計如圖 圖 團(tuán)購預(yù)定 模塊 Predetermined module of groupbuy 自助團(tuán)購審核模塊 通過該模塊，管理員可以隨時了解網(wǎng)站上所有團(tuán)購活動的動態(tài)，可以查看到活動的名稱、活動時間、報名人數(shù)、組織者，發(fā)布的日期等，點擊查看即可以更詳細(xì)地了解報活動的團(tuán)購說明。39。location=39。 錯 誤 ！ 記 錄不 存 在 ！39。javascript39。 主要實現(xiàn)代碼： set rs=() sql=select * from shop where id=amp。 窗口設(shè)計如圖 圖 論壇回帖 管理 黃小虎 《玉林團(tuán)購網(wǎng)》設(shè)計 28 Bbs reply 團(tuán)購預(yù)定模塊 管理員可以通過該模塊查看訂單詳細(xì)信息，如預(yù)訂商品的名稱、數(shù)量、預(yù)訂者的姓名、聯(lián)系電話、電子郵箱、家庭地址、留言以及預(yù)定日期等。 主要實現(xiàn)代碼： set rsReply=() sqlReply=select * from BBSReply where BBSID=amp。 where AdminCheck=amp。 頁面的主要實現(xiàn) 代碼 ： 玉林師范學(xué)院本科生畢業(yè)論文 27 發(fā)帖 管理的主要代 碼： sql=select * from amp。 ArticleID end if 窗口設(shè)計如圖 圖 回收站 管理 Fig Recycling station manage 論壇發(fā)帖管理 論壇 發(fā)帖 提供了 發(fā)帖主題 ， 發(fā)帖用戶，發(fā)布日期的顯示 ， 另外為了防止一些爭議性的帖子或者擦邊球的帖子出現(xiàn)，提供了管理員審核的功能，必須審核通過才能顯示。 ArticleID amp。 ArticleID amp。 } }。 } else if(==ClearRecyclebin) { if(confirm(確定要清空回收站？一旦清空將不能恢復(fù)！ )) 黃小虎 《玉林團(tuán)購網(wǎng)》設(shè)計 26 return true。 主要實現(xiàn) 代碼 ： 徹底刪除函數(shù)： function ConfirmDel() { if(==ConfirmDel) { if(confirm(確定要徹底刪除選中的文章嗎？一旦刪除將不能恢復(fù)！ )) return true。 查找 為 True 的所有記錄 id，并列出來。==false) = 。 if ( != chkAllamp。i。 Set rsArticle= () sql,conn,1,1 if and then FoundErr=True ErrMsg=ErrMsg amp。 主要代碼： 查找當(dāng)前 id下的 全部數(shù)據(jù)： sql=select * from article where ArticleID= amp。再 新建一個名為 的文件，在文件中添加一個 文本域 Title，在 Title文本域 中 的 value 值輸入 %=rsArticle(Title)%記錄集 ， 即可顯示當(dāng)前 id下的標(biāo)題信息 。 新建一個名為 的文件，建立表格，分別放置復(fù)選框、id、標(biāo)題、時間、點擊數(shù)、屬性、審核通過、和刪除移動選項，并使用記錄集返回數(shù)據(jù) 。savefilename=myText2 玉林師范學(xué)院本科生畢業(yè)論文 23 FRAMEBORDER=0 SCROLLING=no WIDTH=550 HEIGHT=450/IFRAME 點擊數(shù)如果不為空，則調(diào)用數(shù)值轉(zhuǎn)換函數(shù)將接收到的數(shù)值轉(zhuǎn)換為整數(shù)存入數(shù)據(jù)庫 if Hits then Hits=CLng(Hits) else Hits=0 end if 窗口設(shè)計如圖 圖 添加文章 /商品 模塊 Fig Increase article/ modity module 黃小虎 《玉林團(tuán)購網(wǎng)》設(shè)計 24 修改 文章 /商品 模塊 此模塊主要實現(xiàn)對信息商品 的刪除，修改， 移動 等操作。 添加“標(biāo)題名稱”文本域，命名為 Title iframe 嵌 入 編 輯 期 代 碼 ： IFRAME ID=editor SRC=edit/?id=contentamp。 頁面設(shè)計實現(xiàn) : 新建“欄目選擇”菜單 select name=39。提供點擊數(shù)初始值的設(shè)定，以供網(wǎng)站初期吸引訪客使用。 ID set rs=() sql,conn,1,3 if and then FoundErr=True ErrMsg=ErrMsg amp。 黃小虎 《玉林團(tuán)購網(wǎng)》設(shè)計 22 廣告系統(tǒng)的三要素是，廣告名稱、鏈接地址和廣告圖片。適當(dāng)?shù)膹V告位可以將信息欄目分離使之不扎堆成行，造成視覺疲勞。如果是線下推廣，可以在統(tǒng)計報表中找到直接輸入網(wǎng)址訪問的訪客數(shù)量，再減去前一個星期或前一月的平均數(shù)，也可大致得到一個效益分析報表，從而改良運營思路獲得一個較好的發(fā)展方向。 我們還可以收集瀏覽者的地區(qū)、瀏覽器、 ip 地址等，以備日后分析使用。 通過對頁面訪問量的分析，我們可以很容易的知道瀏覽者對哪一條內(nèi)容感興趣，對哪一款商品感興趣。 ID 窗口設(shè)計如圖 圖 網(wǎng)站 友情鏈接添 加 模塊 Fig We