制作网站的策划方案,房子信息查询网站入口,基于wordpress的开发,百度网盘官方下载摘 要
随着计算机科学的不断发展和网络的迅速普及#xff0c;Internet 的应用已经涉及到人们生活的方方面面#xff0c;越来越多的现代企业也意识到了这一点#xff0c;如何在当前的网络大发展的背景下开拓市场已经成为了企业关注的重中之重。总的来说#xff0c;互联网的…摘 要
随着计算机科学的不断发展和网络的迅速普及Internet 的应用已经涉及到人们生活的方方面面越来越多的现代企业也意识到了这一点如何在当前的网络大发展的背景下开拓市场已经成为了企业关注的重中之重。总的来说互联网的销售相比传统的营销手段具有以下优势开放性、全球性、低成本、高效率因此这在一定的程度上说明了计算机时代应该把饮食的网络宣传的经营模式作为企业营销的重要策略。详细分析了网站的需求在此基础上采用ASP 技术、数据库技术开发并实现了黑龙江省航道局网站。讨论了Session 变量存储用户登录数据、ASP 页面的静态化问题并就网站发布时服务器安全配置方面作了探讨。本网站采用模块化设计结构清晰内容详细可很好地服务于黑龙江水运。
关键字 1、ASP技术 2、数据库 3、页面静态化 4、网站设计
目 录
一、ASP 技术介绍 1 一ASP 的特点 1 二ASP 的工作原理 1 二、 ASP安全漏洞和防范 3 一程序设计与脚本信息泄漏隐患 3 二对ASP 页面进行加密 3 三程序设计与验证不全漏洞 3 四传漏洞 5 五ASP 木马 6 三、 ASP 技术的网站设计与实现 7 一网站结构及功能 7 二设计实现 7 三发布设置及结果 8 四、 购物网站的实现 10 一IlS服务器的建立 10 二网站与数据库的连接实现 11 三网站前台实现 12 参考文献 17 致谢 18
一、ASP 技术介绍
ASPActive Server Pages技术什么是ASP呢实质上即是新一代开发开放式的动态网页的技术其大环境是非编译应用环境也就是这样的一种技术能够拥有强大的商业价值。该技术能够组合HtmlScript和可重用的Activex服务器组件来建立动态的ASP的开发商是微软公司这种技术的主要优势是开发简单有效但是却能够保证足够强大的功能也能够在一定的程度上非常直观简易地实现复杂的WEB应用。 一ASP 的特点 总的来说ASP 的特点有以下几点无须编辑第一ASP容易生成极易编辑因为其脚本集成于HTML当中这样对日后的完善及维护极为方便有效网站的链接即可直接解释执行。其生成方式也极为方便目前采用较多的就是在普通的文本编辑器如在一般的情况下是Windows下的记事本就可以进行页面编辑设计。第二个特点就是独立于浏览器网站的浏览器独立在一定的意义上说明了用户端只要简单的使用可执行HTML码的浏览器就可以极为方便的浏览在ASP所设计的网页内容这在一定的程度上说明了ASP的运行与浏览器无关。第三个特点是面向对象在ASP技术的一个最为重要的特点就在于其脚本的方便引用系统组件和ASP自身的内置组建组件这就大大改变了传统的引用复杂繁琐的弊端能够简单方便的通过定制Activex服务器组件来扩充功能第四个特点是完成网站的应用程序的速度极快这一特点在一定的程度上使用了Vbscript等简单的脚本语言而且改变了过去网站应用程序的编写速度极慢的状态优化了运转的效率。第五个就是不会外漏源代码源代码的外露给商业带来了极大的威胁因此做好ASP脚本的保护尤为重要。ASP系统能够传到用户浏览器的常规HTML代码这一代码就是只是由ASP的执行结果所独立生成这可以保证程序员辛苦写出来的程序代码不会被他人盗取。 二ASP 的工作原理 在目前的状况来看我们了解ASP的工作原理可以通过比较用户通过客户端浏览器请求ASP程序的过程另外可以通过了解普通HTML页面的过程中的差异。目前的做法是在客户端浏览器地址栏中写入HTML文件的Internet地址其次通过浏览器的网页设置及请求发送网页到WEB服务器此时当WEB服务器收到请求之后通过扩展名.hml或者.htm判断出HTML文件的请求然后将适当的HTML文件从服务器中取出并最终返回到客户端浏览器。此时客户端的工作就是把对HTML文件解释之后将解释的结果显示出来这样得出来的结果就是我们的用户要看到的。
二、 ASP安全漏洞和防范
一程序设计与脚本信息泄漏隐患 bak文件。攻击原理在有些编辑ASP 程序的工具中当创建或者修改一个ASP 文件时编辑器自动创建一个备份文件如果你没有删除这个bak 文件攻击者可以直接下载这样源程序就会被下载。 防范技巧上传程序之前要仔细检查删除不必要的文档。对以BAK 为后缀的文件要特别小心。 inc 文件泄露问题。攻击原理当存在ASP的主页正在制作且没有进行最后调试完成以前可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找会得到有关文件的定位并能在浏览器中查看到数据库地点和结构的细节并以此揭示完整的源代码。 防范技巧程序员应该在网页发布前对它进行彻底的调试。首先对.inc 文件内容进行加密其次也可以使用.asp 文件代替.inc 文件使用户无法从浏览器直接观看文件的源代码。 二对ASP 页面进行加密 为有效地防止ASP 源代码泄露可以对ASP 页面进行加密。我们曾采用两种方法对ASP 页面进行加密。一是使用组件技术将编程逻辑封装入DLL 之中二是使用微软的Script Encoder 对ASP 页面进行加密。
三程序设计与验证不全漏洞 验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容但网上有很多攻击软件如注册机可以通过浏览WEB扫描表单然后在系统上频繁注册频繁发送不良信息造成不良的影响或者通过软件不断的尝试盗取你的密码。而我们使用通过使用验证码技术使客户端输入的信息都必须经过验证从而可以解决这个问题。 登陆验证。对于很多网页特别是网站后台管理部分是要求有相应权限的用户才能进入操作的。但是如果这些页面没有对用户身份进行验证黑客就可以直接在地址栏输入收集到的相应的URL 路径避开用户登录验证页面从而获得合法用户的权限。所以登陆验证是非常必要的。 SQL 注入。SQL 注入是从正常的WWW 端口访问而且表面看起来跟一般的Web 页面访问没什么区别所以目前市面的防火墙都不会对SQL 注入发出警报如果管理员没查看IIS 日志的习惯可能被入侵很长时间都不会发觉。SQL 注入攻击是最为常见的程序漏洞攻击方式引起攻击的根本原因就是盲目信任用户将用户输入用来直接构造SQL 语句或存储过程的参数。以下列出三种攻击的形式 A用户登录假设登录页面有两个文本框分别用来供用户输入帐号和密码利用执行SQL 语句来判断用户是否为合法用户。试想如果黑客在密码文本框中输入’OR 00即不管前面输入的用户帐号和密码是什么OR 后面的00 总是成立的最后结果就是该黑客成为了合法的用户。 B用户输入假设网页中有个搜索功能只要用户输入搜索关键字系统就列出符合条件的所有记录可是如果黑客在关键字文本框中输入’ GO DROP TABLE 用户表后果是用户表被彻底删除。 C参数传递假设我们有个网页链接地址是HTTP//……asp?id22然后ASP 在页面中利用Request.Query String[‘id’]取得该id 值构成某SQL 语句这种情况很常见。可是如果黑客将地址变为HTTP//……asp?id22 and user0 结果会怎样? 如果程序员有没有对系统的出错提示进行屏蔽处理的话黑客就获得了数据库的用户名这为他们的进一步攻击提供了很好的条件。 解决方法以上几个例子只是为了起到抛砖引玉的作用其实黑客利用“猜测精通的sql 语言反复尝试”的方式可以构造出各种各样的sql 入侵。作为程序员如何来防御或者降低受攻击的几率呢? 作者在实际中是按以下方法做的 第一在用户输入页面加以友好备注告知用户只能输入哪些字符 第二在客户端利用ASP 自带的校验控件和正则表达式对用户输入进行校验发现非法字符提示用户且终止程序进行 第三为了防止黑客避开客户端校验直接进入后台在后台程序中利用一个公用函数再次对用户输入进行检查一旦发现可疑输入立即终止程序但不进行提示同时将黑客IP、动作、日期等信息保存到日志数据表中以备核查。 第四对于参数的情况页面利用Query String或者Quest 取得参数后要对每个参数进行判断处理发现异常字符要利用replace 函数将异常字符过滤掉然后再做下一步操作。 第五只给出一种错误提示信息服务器都只提示HTTP 500 错误。 第六在IIS 中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了对于那些通过网站后台管理中心上传的文件存放的目录就更吝啬一点吧执行权限设为“无”好了。 第七数据库用户的权限配置。对于MSSQL如果PUBLIC 权限足够使用的绝不给再高的权限千万不要SA 级别的权限随随便便地给。 四传漏洞 诸如论坛同学录等网站系统都提供了文件上传功能但在网页设计时如果缺少对用户提交参数的过滤将使得攻击者可以上传网页木马等恶意文件导致攻击事件的发生。 防文件上传漏洞在文件上传之前加入文件类型判断模块进行过滤防止ASP、ASA、CER 等类型的文件上传。 暴库。暴库就是通过一些技术手段或者程序漏洞得到数据库的地址并将数据非法下载到本地。数据库可能被下载。在IISASP 网站中如果有人通过各种方法获得或者猜到数据库的存储路径和文件名则该数据库就可以被下载到本地。 数据库可能被解密由于Access 数据库的加密机制比较简单即使设置了密码解密也很容易。因此只要数据库被下载其信息就没有任何安全性可言了。防止数据库被下载。由于Access 数据库加密机制过于简单有效地防止数据库被下载就成了提高ASPAccess 解决方案安全性的重中之重。以下两种方法简单、有效。非常规命名法。为Access 数据库文件起一个复杂的非常规名字并把它放在几个目录下。使用ODBC 数据源。在ASP 程序设计中如果有条件应尽量使用ODBC 数据源不要把数据库名写在程序中否则数据库名将随ASP 源代码的失密而一同失密。使用密码加密。经过MD5 加密再结合生成图片验证码技术暴力破解的难度会大大增强。使用数据备份。当网站被黑客攻击或者其它原因丢失了数据可以将备份的数据恢复到原始的数据保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。 五ASP 木马 由于ASP 它本身是服务器提供的一项服务功能所以这种ASP 脚本的木马后门不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web 空间中的asp 木马并清除。 技巧1杀毒软件查杀一些非常有名的asp 木马已经被杀毒软件列入了黑名单所以利用杀毒软件对web 空间中的文件进行扫描可以有效的发现并清除这些有名的asp 木马。 技巧2FTP 客户端对比asp 木马若进行伪装加密躲藏杀毒软件怎么办我们可以利用一些FTP 客户端软件例如cuteftpFlashFXP提供的文件对比功能通过对比FTP 的中的web 文件和本地的备份文件发现是否多出可疑文件。 技巧3用Beyond Compare 2 进行对比渗透性asp 木马可以将代码插入到指定web 文件中平常情况下不会显示只有使用触发语句才能打开asp 木马其隐蔽性非常高。 Beyond Compare 2 这时候就会作用比较明显了。 技巧4利用组件性能找asp 木马如思易asp 木马追捕。大家在查找web 空间的asp 木马时最好几种方法结合起来这样就能有效的查杀被隐藏 起来的asp 木马。
三、 ASP 技术的网站设计与实现
一网站结构及功能 网站开发工具及平台本网站基于ASP 技术运行于Windows 平台。数据库方面目前比较常用的数据库为MS SQLServer 和MS AccessSQL Server 在安全性、开发控制能力、数据挖掘、联机操作等许多方面都是Access 无法超越的故本文采用了MS SQL Server2000 数据库管理系统作为数据库支持。 网站功能模块本网站包括不需要经常修改的静态模块和需要经常更新的动态模块其构成为单位简介介绍本单位的基本概况。航道概况主要内容为黑龙江省航道的基本情况过河建筑物情况浅滩情况航道管理机构、养护及建设情况。航政执法主要内容为黑龙江省航道的管理条例。机构设置主要内容为本单位各机构基本介绍及各单位的工作职责。政工之窗主要内容为党建工作文明单位建设青年园地工会工作。船机设备主要内容为本单位的船舶和其他机器设备。行业新闻本模块主要提供内容为本行业的最新发展本单位的新闻等信息。公告栏本模块主要提供本单位的通知、公告、考核、培训等信息。水情信息有两部分组成一是水情预报从开江到封江期间每月份上中下旬提供黑松乌嫩四江的包括气象、水情趋势、水位、航深等预报信息。二是航道公报每天包括二十几个水位站的水位和十几个航线的航深公告。后台管理本模块为用户不可见模块包括用户登录验证新闻、公告、水情信息等的发布、修改、删除等操作。 网站设计目标本网站尽量采取模块化的设计过程实现信息的网上查询和加速办公自动化的进程提高工作效率。 二设计实现 网站的整体设计本网站有多个模块但是有的模块不需要经常更新为了减轻服务器的压力把部分模块做成静态的部分模块做成动态的。其中静态模块包括单位简介、航道概况、航政执法、机构设置、船机设备动态模块包括行业新闻、公告栏、政工之窗、水情信息。 网站功能模块的设计网站的动态功能模块包括文章管理模块和用户模块。其中文章管理模块分为三个功能包括文章的发布、修改、删除。 数据结构及数据表本系统采用SQL Server2000 数据库管理系统。首先在SQL Server2000 中创建一个名为DB_HLJHD 的数据库。根据上面的分析本网站需要用到六个表BookA、BookB、BookC 及各自的User。表的详细信息如下所示①BookA 表用于存储行业新闻、公告、政工之窗中的文章相关信息。②BookB 表用于存储水情信息中的水情预报相关信息。③BookC 用于存放航道公报中的各站水位、较昨日、各航线的左、中、右航深等二百多字段。④上述表各自的User 表UserIDint 类型用户ID 号、Username nvarchar 类型用户名称、Passwordnvarchar类型用户密码。 关于用户登录界面的设计用户信息的存储通常使用的对象是Session 对象和Cookie 对象。Cookie 数据存放在客户的浏览器上单个Cookies 在客户端的限制是3K就是说一个站点在客户端存放的Cookies 不能大于3KCookies 值可以用Request 来获取。Cookies 是可以设定有效期的如果没有设定其有效期那么用户关闭浏览器后就会自动消失。如果设定了有效期除非通过IE 的工具清除了Cookies否则会一直保留到设定的有效期为止。 ①用户登录。用户登录的界面包括两个表单和两个按钮其中表单名称分别为UserName 和Password功能是提交用户名和用户密码两个按钮的功能分别是提交数据和取消。②用户退出。用户退出的主要工作是清除保存在服务器端的用户信息包括清除服务器端的用户名和密码重定向页面。 关于文章页面的静态化问题如果一个页面使用了较多的查询语句用户浏览时读取的数据库次数也较多浏览速度就会很慢而且占用服务器资源。另外静态的HTML 页面比ASP 页面更容易被搜索引擎搜索到从安全角度考虑当程序出现问题时ASP页面会不能正常显示或者出现错误提示HTML 页面则可以正常访问。又考虑到HTML 页面可以灵活方便地排出具有特色的版面本站对行业新闻、公告、政工之窗及水情预报采用ASP 页面静态化来发布。 三发布设置及结果 数据库链接本站采用的数据库管理系统是MS SQLServer2000假设服务器名为local用户名为admin用户密码为admin888数据库名为DB_HLJHD。 安全防范SQL 注入是ASP 网站需要特别注意的问题SQL 注入有很多方面的原因本节主要探讨通过配置服务器防范SQL 注入攻击所需要注意的地方。Microsoft 提供的IIS 被广泛地用作服务器。IIS 有很详细的错误提示这种提示一方面给编程开发人员调试提供了很好的参考另一方面也给SQL 注入提供了机会。 攻击者往往通过IIS 的错误提示判断是否存在SQL 注入。所以在服务器上应设置将IIS 的错误提示定向到网站主界面。这样即使ASP 运行中出现错误服务器也不会泄漏错误信息。另外为Web站点上不同类型的文件建立不同的目录然后分别赋予适当的权限。 我单位网站投入使用后加快了本单位的信息化建设为水上作业的工作人员提供了水情、航道等有用信息为单位人员在工作上提供了便捷的服务也很好地服务了黑龙江的水运。
四、 购物网站的实现
一IlS服务器的建立 网站实现的第一步首先应该建立一个用于网站实现的IIS服务器对服务器的建立不仅是网站实现的关键也是后续对网站的测试的关键。由于系统的开发平台是WindowsXP系统。所以实现在XP系统下的115服务器建立。 “首先点击电脑左下方的开始按钮然后点击菜单中的控制面板紧接着双击窗口中的添加安装程序图标“打开添加或删除”的对话框如图4.1所示
图4.1添加删除程序窗口 打开添加或删除程序窗口后双击添加/删除Windows组件(A)]按钮打开“Windows组件向导”对话框、打开后如图4.2所示 图4.2添加删除组件点击hitemct信息服务器(II)勾选项然后单击下一步按钮此时系统提示需要插入安装盘如图4.3所示 ** ** 图4.3提示插入光盘界面图 最后放入安装并完成服务器安装。 二网站与数据库的连接实现 购物网站与数据库连接的实现是网站的重要部分如何能够高效的存储数据库是一个网站的关键。由于本次设计的购物网站的许多页面都涉及到了数据库读写操作并且都需要对数据库进行连接因此链接数据库部分的代码使用的就将会十分频繁。为了更好的提高代码执行的效率本文设计代码的时候采用的方法是首先创建一个文件名为conn.asp的数据 库操作文件在页面需要使用数据库的时候只需要通过使用语句 “!一#ineludefile”eonn.asp”一’调用eonn.asp文件。这样就可以有效的提高了系统运行的效率数据库操作文件的主要代码如下 %oPtionexPlieit dimeonneonnstrstartimedbrs Startimetimer() db0admin/database/#Timesshop.mdb产 SeteonnServer.Createobjeet(0ADODB.Conneetion/) eonnstr/ProviderMierosoft.Jet.OLEDB.4.0Datasouree/Server.MapPath(0 0db//) eonn.OPeneonnstr% 三网站前台实现 网站前台设计不仅仅要考虑美观还要考虑网站风格的的一致性问题在网管站的实现上我们采用了一些页面的风格文件用以协调网站的整体风格。例如header.asp文件(网站页面的头部风格文件)在后续的页面设计中每个页面都将调用该文件进行页面的头部布局本文设计的多个调用页面都存储在网站文件的include文件夹内。 1.主页界面 主页界面利用Dreamweaver软件对网管站首页进行简单的布局插入相应的功能模块将文件名保存为index.asp如图4.4所示 图4.4网站主页图片1.用户登录 “用户登录主要是针对用户登录网站前台设计的只有笨网站的会员才能够购买网站的商品登录时需要验证的信息主要有用户名、密码以及验证码所以我们首先通过用Dreamweaver创建一个文件名为login.asp的asp文件。然后通过软件对其添加文本字段将其分别命名为用户名、密码、验证码。然后插入了一个随机的验证码模块。最后添加登录按钮与注册按钮。将登录按钮的触发事件设置为通过reques对象读取到用户名与密码。然后通过sql语句中的select查询语句对数据库进行查询。如果查询成功将显示网站登录成功。如果不成功则清空文本字段中输入的内容并提示重新输入用户名。点击注册我们将按钮的触发设计为触发注册页面。”通过以上方法生成的用户名登录模块如下图4.5所示 图4.5用户名登录模块“注册页面的设计主要首先通过Dreaeaver对网站的整体布局进行设计插入表格。然后为了与首页的风格一致首先插入一些前面所说的风格模块。然后插入一些与注册信息相关的文本字段。最后在插入提交和清楚按钮。其中提交按钮的触发事件设置为将文本字段中输入的内容通过SQL语句的叩date插入语句进行数据库插入操作将信息插入到用户表中。最后清楚按钮用于清楚已经输入的文本字段。”实现后的的界面如图4.6所示 4.6注册页面图
2.购物车:“购物车的设计是本次设计的一个关键部分。通过详细设计部分所介绍的功能利用软件首先创建一个cart.asp的文件。然后插入一些网站设计中的有关组件。当用户点击所需购买的商品时通过数据库查询语句“select*fromwhereproductrequeSt(”prenallle”)”查询商品表的商品信息然后将所查询到的信息显示到购物车的对应项。点击删除按钮的时候通过AsP中的Recordset对象rs.deleCt删除数据记录。下订单按钮的触发事件设置为触发订单页面点击继续采购触发的事件是回到购物界面。该界面的实现如图4.7所示 图4.7购物车图
3.订单界面“订单界面的设计与注册页面的设计相似建立一个文件名为reg.asp的文件采用 同样的方法设计实现该页面。”设计完成后的界面如图4.8所示 图4.8购买页面图4.留言板块:“留言表的设计首先是创建一个文件名为mess.asp的文件。然后加入文本框用于用户输入留言。点击提交按钮通过Sql语句将用户留言插入到数据库中的留言表中。”设计后的界面如图4.9所示 图4.9留言模块图
5.商品搜索:商品导航主要是查询数据库中的商品类别表将商品类别表中的数据项对应到界面中相依的位置。用户可以对界面上的信息进行点击。最后将其存为文件名为Procart.asp的文件。实现后的界面如图4.10所示 图4.10商品导航模块图
针对网站的实现工具以及网站的具体实现过程进行详细的描述在建立的过程中对网站的各个模块进行详细的系统测试以保证各个模块具有良好的健壮性。最终达到需求分析与详细设计中对网站的要求。参考文献
[1] 胡秀源. 基于ASP技术的动态网站设计[J]. 制造业自动化. 2011(06) [2] 刘秀芳刘仲鹏. 基于ASP.NET的商品交易网站设计与实现[J]. 黑龙江科技信息. 2011(08) [3] 欧瑜枫李鹏. 基于ASP的电子商务购物网站的设计与实现[J]. 商场现代化. 2009(09) [4] 魏楠. 基于ASP旅游网站的设计与实现[J]. 中国新技术新产品. 2009(08) [5] 张立新. 运用ASP技术实现动态网站建设[J]. 黑龙江科技信息. 2010(12) [6] 周安峻黄方陈涛. 利用ASP动态实现网站设计与生成[J]. 渭南师范学院学报. 2010(05) [7] 刘向华. 基于ASP的个人网站设计及实现[J]. 电脑与电信. 2010(09) [8] 刘建莉. 基于ASP动态网站的设计与优化[J]. 科技风. 2010(10) [9] 程宴. 基于ASP的动态网站的设计与实现[J]. 计算机与数字工程. 2008(05) [10] 闻永萍. 基于JSP的电子商务网站开发[J]. 信息安全与技术. 2011(11) [11] 张剑. 电子商务网站的作用与功能分析[J]. 科技资讯. 2010(04) [12] 杨明智,庄玉良. 企业电子商务网站评价研究[J]. 情报杂志. 2009(02) [13] 张君,武装. ASP技术下的网络办公自动化系统[J]. 电子技术. 2004(06) [14] 丁一琦. 浅析ASP技术在WEB数据库中的应用[J]. 黑龙江科技信息. 2009(14)
致谢
经过长期的准备和撰写本论文终于如期完稿了。这篇论文是在任秀杰老师的悉心指导下完成的。任秀杰老师治学严谨的态度使我佩服不已在论文撰写过程中一个错别字、一个错误的标点符号也被老师一一指出。承蒙任秀杰老师的悉心关照使我能顺利完成学业在此向任秀杰老师表示最衷心的感谢和最诚挚的敬意! 感谢在我的论文修改过程中提出尘贵建议和意见的同学和好友你们的支持和鼓励是我撰写论文的强大动力。 感谢我的父母在我两年半的求学期间给了我最无私的关爱和支持我将永记心中由于本人水平有限这篇论文难免存在着一些不足之处恳请各位专家、师长不吝赐教多提宝贵意见。
