基于ASP学校内部毕业生信息管理系统

第七章：系统安全

黑客攻击互联网网站，还有恶意黑客窃取网上的军事机密和数据库中的商用数据的事件层出不穷，所以现在网络数据库的安全必须给予高度重视。

本系统从一开始就考虑了这个问题，从三个方面来提高数据库的安全性：

（1）从结构上，所有用户的操作都是B/S三层结构，即用户不能直接访问数据层，必须通过应用层才能得到所需的数据，这样等于在传统C/S模式的两层结构上加了一个安全层。

（2）现在有很多网络黑客可以从网上直接调用密码验证后的文件，从而绕过口令验证和安全检查，而本系统为解决这个问题，在每一个文件里都加了一个安全参数的认证，如果有一个页面被用户直接调用而没有经过身份验证，该页面会自动重定向到登入页面，还有对于已经通过系统身份验证的不同类型的用户，用SESSION(“name”)，SESSION(“flag”)等变量参数进行跟踪来加强系统安全性。这样，毕业生、用人单位都不能超越权限访问管理员相应的管理页面或者干脆不提供相应的页面连接。以管理员入口为例，实现的关键程序代码如下：

 <%  if session("name")="" or session("flag")<>"1" then %>

            <a href="#" class="Alink">管理员</a>

<% else %>

                  <a href="admin/index.asp" target="_blank" class="Alink">管理员</a>

<% end if %>

这样，非管理员类型的用户都被拒之门外了，即使知道了文件所在站点的路径，也还是于事无补。因为在服务器端的.ASP文件中还有一段安全性检验代码。

在服务器端，安全性检验代码如下：

<% ‘只允许本系统的管理员用户可以进入

   if （ session(“name”)=””  or  session(“flag”)<>1） then  %>

    response.Redirect("index.asp")

end if

%>

这段代码简洁高效，对其它各种大小系统也有非常重要的意义。

（3）为了保护核心数据库，采用了数据库加密的方法，这样即使有人找到了数据库文件 ，也因为缺少正确的口令无法将其打开。虽然目前ＡＳＰ的站点很多都存在可以看见源代码的问题，如果ＡＳＰ程序员将数据库的连接用户名和密码直接写在ＡＳＰ里 ，那么一旦源码被发现，如果数据库允许远程访问而且没有设防的话就相当危险了。如何解决这个问题呢 ?可以将ＡＳＰ文件存放的目录设置为不可读 (ＡＳＰ仍能执行 )，这样HTML、CSS等文件就不能放在这个目录下，否则它们将不能被浏览。或者安装微软提供的补丁程序，注意针对不同的系统有不同的补丁[3]。

第八章：存在的问题和前景展望

至此, 基于ASP技术的毕业生信息管理系统的设计开发工作已基本完成。本系统界面友好，美观，具有很好的动态性和交互性。相信它会给学校的毕业生信息管理工作以及学生的择业、交流，用人单位与毕业生之间的双向选择提供一个方便快捷的网络平台。由于时间所限，本人认为系统的安全性日后还有待于加强；在论坛管理和班级聊天室等扩展模块方面也可作进一步的深化和完善。

参考文献

[1]周星，魏应彬，《动态网页与WEB数据库》，北京大学出版社， 2001

[2] 俞波，周皓峰，一种基于WEB的学生信息管理系统， 计算机与现代化，2000年第2期， 55－60

[3] 王华，ＡＳＰ开发信息服务系统示例， 太原科技，2003年第4期 ，52 　

[4] 李世杰《Active Server Pages 2.0 网页设计手册》，清华大学出版社，2000.1

[5] 闫华文，《SQL Server 2000 与ASP Web 数据库编程技术》，北京大学出版社，2001.4

[6] 陈会安，《JavaScript 网页制作彻底研究》，人民邮电出版社，2002.1

[7] 康博，《Web应用程序开发新技术》，人民邮电出版社，1999.7

[8] Brian Francis, etal，《Professional Active Server Pages 3.0》，Published by WROX，2002

[9] Bob Reselman，《Active Server Pages 3.0 by Example》，Published by Que，Jun 1, 2000

[10]《Tutorial Home Page》,http://www.asptutorial.info 2002

 

本文选自计算机毕业设计http://myeducs.cn
论文文章部分只是部分简介，如需了解更多详情请咨询本站客服！QQ3710167