购物网站商城系统 毕业设计论文.doc

毕业设计网站购物商城系统杨凌职业技术学院2008届电子与信息工程系软件技术专业毕业论文(设计) 课题名称：购物网站商城系统专业班级：软件08007班 学生姓名： 学生学号： 指导教师：摘 要随着科技的发展，网络已渐渐融入到人们日常生活中，网络购物逐渐成为人们购物的一种新方式，易趣、淘宝等购物网站已是众多网上购物者喜欢光顾的地方。internet上的企业计算飞速发展，web服务器早已不再局限于过去的http服务，cgi、php、asp等技术早已使服务器端的数据库服务和应用服务成为所有网站的家常便饭。而具有跨平台特性的java更是震动了web世界。sun公司的j2ee平台以它的优良特性大大简化了服务器端多层企业应用的开发，已经成为电子商务网站的事实标准。基于商务网站的建设和web技术的发展，采用j2ee平台开发网上购物平台。该平台采用apache作为web服务器和应用服务器，后端连接microsoft sql server数据库；网站中主要经营服装类，发布最新的服饰资讯、流行趋势和各类经典服装。提供方便的检索工具供用户查询所需的款式，允许顾客根据网站的不足提出意见和建议，从而不断改进网站功能和建设。关键词：网上购物 购物系统目 录第一章 概述 5 一、web技术的发展 5 (一)web页面的开发 5 (二)电子商务的兴起5 二、研究现状5 (一)网站开发环境5 (二)商务网站存在的问题6 三、开发技术 6 (一)jsp和asp 6 (二)jsp技术综述及其组件在b2c商务网站上的应用 6 四、本文的主要工作 7第二章 开发环境 7 一、jsp环境 7 (一)jsp环境软件 7 (二)jsp环境的安装和环境变量的设置 7 (三)jsp环境的测试 8 二、数据库及数据库连接所需配置8 三、dreamweaver ultradev 4.0 8第三章 jsp技术及应用 9 一、jsp原理及特点 9 二、jdbc及数据管理的连接 10 (一)java database connectivity (jdbc) 10 (二)jdbc驱动及连接 11 (三)jdbc支持三层模型 12 三、jsp和javabean13(一)javabean原理和机制13(二)编写javabean源文件 15(三)常用javabean属性 16 四、jsp处理表单事务 16(一)cookie和session 17(二)session的处理 17(三)表单在客户端的验证19(四)表单在服务端的验证20第四章 流程设计和数据表 22 一、dreamweaver ultradev 4 22 二、系统流程图 22 三、数据流程图 22 四、业务流程 23(一)网上交易部分 23(二)网上交易业务流程图 23(三)购物流程 24 五、数据表25第五章 安全分析27一、 概述 27二、 典型分析 27(一)源代码暴露类 27(二)远程程序执行类 29(三)其他类别 29 三、安全启示 29第六章 j2ee和高级 30一、 j2ee的核心api 30二、 j2ee的设计模式 31(一)mvc(modelviewcontroller)体系结构32三、 连接池 33(一)问题现状 33(二)连接池技术 33四、 c/s模式、b/s模式 & 多层结构 35第七章 总结与展往 37一、 工作总结 37二、 未来的工作 37参考文献 38设 计第一章 概述一、web技术的发展1991年，欧洲粒子物理研究所（cern）的软件工程师tim berners-lee发布了他的万维网(world wide web)。从此以后，通过互联网看到的将不仅仅是文字，互联网有了图片，后来又有了音频、动画甚至视频。www的成功在于它制定了一套标准的,易于掌握的超文本标记语言html、信息资源的统一定位格式url和超文本传输协议http，用超链接和超媒体把internet上各种相关数据有机地链接起来，使互联网上的资源实现了共享。你只需要点击鼠标就可以浏览来自世界各地的丰富的、直观的信息，一个不懂电脑的人也可以很快成为internet 行家。（一）web页面的开发 开始的web页面都是静态文本，页面呆板，互动性不强，但是随着技术的发展，很快各种各样的动态网页技术涌现出来，这其中包括cgi, asp, php, java,脚本语言如：javascript, vbscript等等。javascript 和 vbscript可以嵌入在html中实现一些客户端的动态功能；cgi大大扩展了web服务的功能，可以实现web服务器与数据库及文件系统、应用程序的通信，动态生成超文本，于是网页活了起来。但cgi的运用需要具有一定的编程能力及算法技巧，而且与html要分开编写，维护和编写都比较困难，效率和安全性也不好。 asp, php克服了这些缺点，获得了广泛的应用。java的出现给web带来了新的活力。它具有完全的平台无关性，一次编写处处运行，用java可以编写web页中执行的小程序applet。它简单、面向对象、安全、健壮、分布式等优点特别适合开发web应用。在美国，jsp+ servlet+ ejb已经成为电子商务网站的开发标准。（二）电子商务的兴起“由于电子商务在全球的迅速发展，现在全球有1.2亿人通过互联网购买过商品或服务。这项研究建立在34个国家互联网用户投票并与大约28,000人面谈的基础上”。angus reid group对网民第一次网上购物时间的调查显示，绝大部分网民近三年才开始进行网上购物，而且人数比例逐年递增。98、99年开始网上购物的网民很少，合计不足5%；2000年跃升至23%，之后逐渐攀升，至2002年则高达40%左右，2000年以后开始网上购物的网民合计占总人数的90%以上。数据表明，网民对网上购物的热情并没有被互联网的寒冬冷却，相反越来越多的网民开始尝试网上购物，随着网民数量持续高速增长，电子商务的消费环境和受众群体网上消费意识也将得到有效地改善。网上购物是电子商务的基础形式，如果能够抓住这一时机，适时推出受网民喜爱的网上商品和网上交易方式，国内电子商务企业的发展将可以提高一个台阶。 二、研究现状（一）网站开发环境在国外,jsp+servlet+jdbc+javabeans已经成为开发电子商务平台的主流技术,而在国内用jsp的技术网站很少,还未成为一个主流的开发工具,主要原因是在国内很多服务器平台都是winnt/windows2k,并且icp服务商并未提供jsp服务,或许是对jsp了解比较少的原因,但是,国内还是有许多成功的jsp站点。如,chinaren网站采用的是jsp技术,还有c中华网的缘分的天空lovesky.c,是一个交友的大型娱乐网站。（二）商务网站存在的问题现今，购物网站主要存在以下一些问题：、目前，绝大多数的电子商务网站都还不是完全意义上的电子商务网站。虽然中国的绝大多数电子商务网站都已经实现了网上接受订单、网上支付的服务，但大多数网民采用的仍是在线订购、离线支付的方式。并且，目前网站与其供货商和配送单位采用的多是传统的沟通方式，效率比较低。2、商品价格并没有足够的竞争力。网上的价格并没有很强的竞争力，大多数产品加上运费后和传统商场的价格基本持平，而一些计算机硬件产品和通讯产品的价格则还要高于传统市场的价格。3、订货一确认一付款一认证一发货一送货各环节结合不紧密，经常出现脱节的现象。发生了问题，调查起来比较困难。、缺乏创造力。盲目追随成功网站的模式，使得电子商务类网站呈现出“百站一面”的尴尬局面。三、开发技术（一）jsp和aspasp是微软的产品，其应用只能是在windows平台上，移植性差，而且以源代码的形式存放在服务器端，安全性差。每次由服务器解释运行，运行效率不高。jsp页面文件执行时被编译成字节代码，由客户端流览的java虚拟机解释执行，不再是源代码，因此执行效率和安全性高。将数据库连接的重要信息存放在javabean文件后，可以编译成虚拟机才能解释的字节代码，确保了数据库的安全。在asp技术里，通过web页面要实现一些特定的功能比较困难，比如基于网页的报表，打印实现起来就比较麻烦。asp提供的解决方案是自己开发组件，通过在服务器端注册组件，成为独立的可以重复利用的模块供读者调用。因此要求读者需要掌握比较复杂的变成语言的开发技术。在jsp开发技术里，可以通过开发javabean文件实现同样的功能，javabean不需要注册，只要放置在相应的目录下就可以运行。可以实现asp的com组件同样的功能。此外jsp推出主要就是考虑到平台的无关性。jsp代码可以在apache、iis等服务器上执行，支持大部分操作系统。jsp继承java技术的优点：一次运行，处处运行。（二）jsp技术综述及其组件在b2c商务网站上的应用servlet可以让你建立动态生成的网页，而网页中包含有从服务器方的java对象中所获得的数据。但是你也得知道servlet 生成网页的方法就是在java类中嵌入html标签和表述代码。这就意味着改变表述代码需要修改和重新编译servlet源文件。因为设计html页面的设计人员可能与编写servlet代码的开发人员不是同一个人，更新基于servlet的web应用程序就成了一件非常棘手的事情。jsp网页可以非常容易的与静态模板结合，包括html 或xml 片段，以及生成动态内容的代码。 针对代码的重复使用，sun公司提出了javabean技术，类似于microsoft的组件对象模型com技术，javabean的价值在于它可以经由一组属性来使用，而这些属性则提供对javabeans设定的存取。javabean就好比一个单位，而单位的名称、地址、以及规模都可以称之为属性。在jsp原有的优点上支持紧凑方便的创建和使用，提高了分部计算机制的强壮性。j2ee平台为应用程序服务器定义了一个服务器端组件模型，简化了中间件组件的开发。j2ee的相关技术，包括rmi, corba, jsp, ejb等等，极大的简便了商务网站的开发, 可以从中选择合适的技术构建发布平台的框架，已逐渐成为开发标准。四、本文的主要工作 本文讨论了服务器端三层模型的特点，分析了dreamweaver ultradev开发工具的特点及jsp开发技巧，论证了创建购物网站的框架结构以及前台web界面和后台数据库的连接设置，对于未来的一个发展方向和平台的安全性解析，apache+dreamweaver+mssql+tomcat是比较合适的技术支持。第二章 开发环境一、jsp环境（一）jsp环境软件 本文所采用的jsp环境软件有如下：1、tomcat 6.0.0 2、j2sdk-1_4_2-windows-i586 （二）jsp环境的安装和环境变量的设置首先安装tomcat，安装到d:program filesapache tomcat4.0.2下，再安装jdk，取目录为d: j2sdk1.4.2。接下来配置环境变量：右键点击“我的电脑”，在弹出的菜单中点“属性”，在系统特性里选择“高级”，找到“环境变量”，点击进入后，“系统变量”就是我们需要设置的地方。（下图）图系统特性 1、新建classpath变量，然后在变量值中输入以下内容：d:j2sdk1.4.2lib;d:programfilesapachetomcat 4.0lib;%classpath%2、新建java_home变量，然后在变量值中输入以下内容： d:j2sdk1.4.23、编辑path变量：在原有的变量值后添加jdk的bin目录和lib目录，最后结果如下%systemroot%system32;%systemroot%;%systemroot%system32wbem;c:programfilesmicrosoftsqlserver80toolsbinn;d:j2sdk1.4.2bin;d:j2sdk1.4.2lib;%path%4、新建变量tomcat，变量值为： d:program filesapache tomcat 4.0（三）jsp环境的测试现在让我们来测试配置是否成功，在ie中输入http:/localhost:8080/，如果出现tomcat的欢迎画面则表示安装成功。二、数据库及数据库连接所需配置本文采用了中小型网站使用的mssql server 2000来作为后台数据库。最后为了能和数据库（mssql）连接，还需要增加mssqlserver.jar,msutil.jar,msbase.jar三个文件到commonlib目录下。三、dreamweaver ultradev 4.0macromedia dreamweaver ultradev是专门为软件开发所设计的,它能帮助我们更容易更迅速的完成工作。ultradev功能全面，能够制作三种基本动态网站asp、jsp、coldfusion；其次，ultradev能迅速建立你的动态网站、与现存软件的网络接口、以及动态支持的数据库。可以非常直观地开发网络软件，同时保持对代码的完全控制。拖放服务器行为可以很容易地制作显示、导航和更新数据库内容的网页；再次，macromedia公司提供了大量的第三方插件，其中包括了多种购物车功能插件。除此之外，ultradev的扩展功能提供了开发在线商店所需的所有东西，让这些商店能够支持多种功能，而且容易维护。同时，你能方便地制作使用内置税和运输计算、复杂的商业选择、实时信用卡交易和其他功能的电子商务网站。ultradev的工作流程大致分为以下6步：1、系统分析。 2、制作静态页面。 3、定义记录集。 4、添加动态内容。5、添加服务器端的行为，激活动态页面。 6、编辑和调试web页。ultra提供了三种编辑环境：dreamweaver传统的可视化编辑环境、ultradev活动数据编辑环境和源代码编辑环境。第三章 jsp技术及应用一、jsp原理及特点一些人可能已经对微软的active server pages(asp)很熟悉了；jsp在多数方面与asp功能相同但是具有平台无关特性。他们都用来帮助web内容的开发者们使用相对少的代码创建动态的网页。一个jsp页面包含掺杂着java代码的html代码。当客户机请求这个页面时，服务器处理java代码，把它生成的html页返回给浏览器。java server page，简称jsp，它不但拥有servlet的所有特性与优点，更增加了程序开发上的弹性，除了java程序本身跨平台的优点，它是直接在html中内嵌jsp程序代码，使得程序开发更为容易、方便。jsp是完全架构在servlet程序上，不同的是，jsp程序是由jsp engine先将之转换成相对应的servlet程序代码，接着将它编译成类文件载入执行，之后它就如同一般的servlet一样。从下图中我们可以看到jsp和asp的区别。图 jsp与asp的区别 当客户端请求一个jsp网页时，jsp engine会检查所请求的jsp网页是否已经处于被载入执行的状态，如果没有，它会先读取jsp程序文件，将它换成servlet程序代码编译载入，然后才执行请求的服务。也是就说，只有当客户端第一次请求jsp网页时，才需要被转换、编译和载入，做到了一次执行，处处执行。jsp的servlet class是jsp engine自动帮我们编译产生的，不像servlet需要手动编译，另外，在jsp程序中建立新的对象和java bean非常方便容易。许多应用程序服务器都支持jsp网页程序，如bea的weblogic、ibm的websphere，也已有不少的电子商务网站纷纷采用jsp来架站，jsp俨然成为假设商务网站的企业标准。我们来看一个jsp页面的例子。它显示了服务器当前的日期和时间。请注意java代码放在两个符号之间， java表达式放在之间。 sample jsp page date jsp sample the current date is 二、jdbc及数据库管理的连接（一）java database connectivity (jdbc) 要实现动态网页的实现少不了与数据库的连接，接下来介绍jdbc技术。jdbc的 api通过一个统一的方式访问不同的数据库。类似odbc，jdbc 对程序开发人员隐藏了数据库产权的问题。因为它是建立在java之上的，jdbc 也能供提供平台无关性的数据库访问。 jdbc是一个规范，遵循jdbc接口规范。应用程序在获取数据库连接时，需要以url的方式指定是那种类型的driver，在获得特定的连接后，可按照固定的接口操作不同类型的数据库，如:分别获取statement、执行sql获得resultset等jdbc 定义了四种本质上不同的数据库驱动程序，分别阐述： jdbc-odbc 桥jdbc-odbc 桥使用它，程序开发人员可以使用jdbc来访问odbc数据源。 jdbc-native 驱动桥jdbc-native 驱动桥提供了建立在本来的数据库驱动程序之上的jdbc接口，没有使用odbc。 dbc-network 桥因为dbc-network驱动程序经常需要一个相对较少的下载时间，具有平台无关性，不需要客户端的安装和管理，这种方式最适合internet应用。 纯java驱动用纯粹的java数据库驱动程序提供数据库访问。由于纯java驱动程序在客户机上运行和直接访问数据库，在这种方式下执行意味着2层结构。（二）jdbc驱动及连接apache server 为一些常用的数据库提供了jdbc驱动，包括oracle, mysql,sybase, microsoft sql server和informix。使用jsp访问数据库实际上就是先建立一个javabean组件,让它来完成与数据库的连接查询功能,并返回一个数据集合(resultset),然后在jsp页面中使用标签创建beans的实例,通过它来对数据库进行查询修改等操作。例. 程序try /加载数据库驱动程序，使用mssql jdbc驱动class.forname(com.microsoft.jdbc.sqlserver.sqlserverdriver); /建立数据库连接string url=”url”; string user=”;string password=”;connection conn= drivermanager.getconnection(url,user,password); /创建statement对象，用于数据库语句的执行、返回statement stmt=conn.createstatement(resultset.type_scroll_sensitive,resultset.concur_updatable); /定义数据库语句string sql=select * from customeregister; /执行返回结果resultset rs=stmt.executequery(sql); while(rs.next() 您的第一个字段内容为： 您的第二个字段内容为： rs.close(); stmt.close(); conn.close(); 程序展示了jdbc驱动作用下，与数据库建立连接。其jdbc常用对象如表所示类名 对象drivermanagergetconnection() /建立数据库连接statementclose() /关闭当前的statement对象executequery() /执行sql select语句executeupdate() /执行 sql的更新语句preparestatement继承statement 用于执行带或不带in参数的预编译sql语句callablestatement继承preparestatement用于执行对数据库已存储过程的调用connectioncreatestatement /建立一个用语执行sql语句的statement对象resultsetclose /关闭当前的resultset对象getboolean /将给定的列或列索引制定的列数作为boolean类型返回getint /将给定的列或列索引制定的列数作为int类型返回getfloat /将给定的列或列索引制定的列数作为float类型返回getlong /将给定的列或列索引制定的列数作为long类型返回getstring /将给定的列或列索引制定的列数作为字符串类型返回,(列名不区分大小写,从列1开始)表 jdbc常用对象 （三）jdbc支持三层模型jdbc支持两层模型，也支持三层模型访问数据库。 两层模型中，一个java appple或者一个java应用程序直接同数据库连接。这就需要能直接被访问的数据库进行连接的jdbc驱动器。用户的sql语句被传送给数据库，而这些语句执行的结果将被传回给用户。数据库可以在同一机器上，也可以另一机器上通过网络进行连接。这被称为“client/server”结构，用户的计算机作为client,运行数据库的计算机作为server。这个网络可是intranet，比如连接全体雇员的企业内部网，当然也可以是internet。 图3.2.3 客户/服务 结构在三层模型中，命令将被发送到服务的“中间层”，而“中间层”将sql语句发送到数据库。数据库处理sql语句并将结果返回“中间层”，然后“中间层”将它们 返回用户。mis管理员将发现三层模型很有吸引力，因为“中间层”可以进行对访问的控制并协同数据库的更新，另一个优势就是如果有一个“中间层”用户就可以使用一个易用的高层的api，这个api可以由“中间层”进行转换，转换成底层的调用。而且，在许多情况下，三层模型可以提供更好的性能。“中间层”通常还是用c或c+实现，以保证其高性能。但随着优化编译器的引入，将java的字节码转换成高效的机器码，用java来实现“中间层”将越来越实际。而jdbc是允许从一个java“中间层”访问数据库的关键。三、jsp与javabean（一）javabean原理和机制jsp的一大特点就是与javabeans的结合,而jsp与javabeans结合的一个突出的优点是页面显示和业务逻辑的分离。这可以使团队协作的更好，开发出更高质量的站点，而且非常适合于团队开发：1、java开发人员致力于将业务逻辑在javabeans中实现。2、eb开发人员致力于页面的实现，即javabeans如何在jsp中工作和设计jsp页面。3、主页人员和美工致力于站点的设计和页面表现风格。这种结构使得web站点的维护变得容易，特别对于大型的电子商务网站更是如此。javabean是一种可以重用的java组件，它类似于com，在jsp程序中常用来封装事物逻辑、数据库操作等，可以很好的实现业务逻辑和前台程序的分离，使得系统具有更好的健壮性和灵活性。事件处理是javabeans体系结构的核心之一。通过事件处理机智，可以让一些组件作为事件源，发出可被描述环境或其他组件接受的事件。这样，不同的组件就可在构造工具内组合在一起，组件之间通过事件的传递进行通信，构成一个应用。从概念上讲，事件是一种在“源对象”和“监听对象”之间、某种状态发生变化的传递机智。事件有许多不同的用途，如：鼠标事件、窗口边界改变事件、键盘事件等。在java和javabeans中则是定义了一个一般的、可扩充的事件机制，它能够：1、对事件类型和传递模型的定义和扩充提供一个公共框架，并适合于广泛的应用。2、与java语言和环境有较高的集成度。事件能描述环境捕获和被激发。能使其他构造工具采取某种技术在设计时直接控制事件，遗迹控制事件源和事件监听者之间的联系。事件本身不依赖于复杂的开发工具。特别的，事件机制还应当：1、能够发现制定的对象类可以生成的事件。2、能够发现制定的对象类可以观察监听到的事件。3、提供一个常规的注册机制，允许动态操纵事件源与事件监听者之间的关系。4、不需要其他的虚拟机和语言即可实现。5、事件源与监听者之间可进行高效的事件传递。6、能完成javabean事件模型与相关的其他组件体系结构事件模型的中立映射。（二）编写javabean源文件一个javabean就是放置在java类，它封装了一些私有的数据和方法，这些私有数据在jsp页面中可以通过set和get方法来存取。javabean的工作过程也很简单，首先在jsp页面中生成一个javabean的实例，然后对数据进行处理，最后使用get方法得到，最终结果在页面上显示出来。javabean文件必须放在与jsp页面存放位置对应的web-infclasses目录下，比如要在sourcejsp中的某一个jsp页面中使用一个javabean，这个javabean必须放在sourceweb-infclasses中。例【sourceweb-infclassestesttestbean.java】package test /建立名为testbean的javabeanpublic class testbeanprivate string stringvalue;private int num; /初始化public testbean() stringvalue=”this is the initial value”; num=0;public string getvalue() /设置valuereturn stringvalue;public void setnumber(int number) /设置number num=number;public int getnumber() /得到number return num;在jsp页面中调用javabean在命令方式下进入javabean所在的目录，输入javac testbean.java，生成testbean.class文件。【sourcejsptestbean.jsp】 bean 以上程序为javabean和jsp组合的一个范例。（三）常用javabean属性在javabean的scope有四种：page、request、session、application，它们的关系是applicationsessionrequestpage。page对象仅在本页面有效。request对象在同一个请求范围内有效，在页面中使用后，由于跳转的页面和当前页面同属于一个request，在跳转过程中并未进行对象的重新创建。session对象在整个session的有效范围内一直存在，当session结束时，这个对象也会跟着消失。application对象在application的有效范围内都有效，只有当服务器重新启动时才会消失。在jsp页面中对javabean的内部变量进行存取时，除了直接调用编写好的set、get方法外，还可以使用和，使用这两条指令往往能大大简化jsp页面中的代码。set/getproperty语法：四、jsp处理表单事务http协议解决了在一般情况下,用户和服务器之间的交互操作问题.这个一般情况主要是指用户浏览网页等行为。这些行为中不需要web服务器记忆客户端的状态和事件，web服务器只是需要简单地响应用户端请求的过程，其实并不是一种真正的用户和服务器之间的交互操作。随着电子商务的迅猛发展，基于web和http协议的电子商务应用系统对用户和服务器之间的交互操作功能提出了新的要求，因此也带来了新的问题。例如，当用户通过浏览器在网上商店或网上超市购物时，一般都是由用户先选购物品，用户选购的物品先暂时存放在一个“购物篮”的地方，用户所有的选购物品工作完成后，再去“收银台”统一交费。这和我们在现实生活中的超市购物情景十分相似。这种仿照现实生活的网上购物模式就向我们提出了一个有趣的问题，：由于web服务器只能简单的响应用户端的请求，那它如何能够知道我们的“购物篮”里有什么东西？ 这时，web服务器不能顺利地记住用户在应用系统中所做的事务成了我们的新问题，它使得“购物篮”里有什么东西？即使服务器上保存了上下文信息，我们还会在电子商务应用中遇到其他问题。例如，当用户从选择商品的页面转到输入信用卡帐号和用户个人资料的反面，web服务器如何才能记住用户买了些什么东西能？（一）cookie和session一种应用比较广泛也是比较有效的方法是使用cookie机制。web服务器利用http cookie来存储有关购物session的信息，后继的各个链接可以查看当前session，然后从web服务器的某些地方提取有关该session的完整信息。然而，即使servlet提供了一个基于应用层的使用灵活的cookie接口，仍有一些繁琐的细节问题需要处理.（二）session的处理session的信息保存在服务器端，servlet的id保存在客户机的cookie中。如果客户机禁止cookie，session id就必须放在url后面。session一般在服务器上设置了一个30 分钟的过期时间，当客户停止活动后自动失效。session中保存和检索的信息不能是基本数据类型，如int double等，而必须是java的相应的object如integer，double。简单session实现功能：httpsession session=request.getsession();得到一个session对象或创建一个sessioninteger id=(integer)session.getvalue(“id”);检索出session的值并转化为整型session.putvalue(string name,objext value);给session中的某项赋值session.removevalue(“name”);从session对象内建的数据结构中删除某个键值对（三）表单在客户端的验证在表单的提交过程中，需要对用户提交的信息进行客户端的确认，以分担服务器端为验证信息所用的开销。 （四）表单在服务端的验证表单信息在客户端进行了初次的筛选后，接下来的就是将信息送到服务器端，在进行处理前，进行服务器端的信息验证，包括和后台数据库定义的数据规范及数据之间的验证等。限定字符串长度长度，限定字符串类型，限定字符串范围:java servlets servlet的功能基本与jsp相同，尽管采用的方法有些不同。然而典型情况下jsp由html代码嵌入少量的java代码构成，servlet却完全用java写成，用于声称html代码。servlet 是扩展web服务器功能的小java程序。它是一个在收到请求时在服务器端动态执行的应用程序。 在开发servlet时，你通常要继承javax.servlet.http.httpservlet类，并且重载它的一些方法。主要的方法包括service():作为“特定命令(command-specific)方法”的调度器doget(): 处理来自客户机的http get请求 dopost():处理来自客户机的http post请求 init():初始化实例 destroy():结束servlet第四章 流程设计和数据表一、dreamweaver ultradev 4dreamweaver ultradev 4 是唯一能在一个开发环境下开发不同技术标准的应用程序软件，其中包括微软的asp（active server page），jsp(java server page)，cfml(cold fusion markup language)。作为完整的dreamweaver 开发平台的一部分，dreamweaver ultradev 4为页面设计人员和程序员之间架起了一个沟通的桥梁。它能让web应用程序开发者使用它自带的代码编辑器，并利用服务器行为编辑器开发代码以适应自己的标准。它不但结合了所有在dreamweaver 4中拥有的功能特性，还可以为各种具有工业标购买购物清单程序定货信息订单生成程序订单总汇购物清单主文件(包括个人购物信息及货物信息)准的应用服务器迅速地建立服务器端的应用程序。二、系统流程图：三、数据流程图四、业务流程网上交易部分：1、浏览与选择商品：顾客进入网站即刻自动提供购物车，不需身份确认就可以在网站上随意浏览、挑选商品（可增加、删除、修改购物车上商品的数量），网站提供最新的商品列表，热卖商品优先列表给顾客作为选购时的参考；2、判断：顾客确定所购物品后，系统将判断该顾客是否是会员，如果是，则可直接填写订单；否则，提示顾客登记注册；3、提交订单：已选购的商品需填写订单细节，如付款及提货方式等。只有正式提交定单才能生效；4、注册：顾客可在公司的网站上注册，填写姓名身份证号等信息后提交申请；5、确认：后台管理将实时得到顾客的注册信息，通过邮箱激活及其他方式确认，得到注册确认的顾客才能成为会员，并拥有唯一的会员证号；6、不是会员的顾客可以先挑选商品再申请成为会员，会员申请生效后即可下定单，所定购的商品数及时存入数据库；7、送货与付款：网上的每一份订单都将实时存入后台数据库，后台操作人员通过电话及其他方式确认，确认后将及时实施该订单：向顾客送货，货到付款，完成网上交易。 五、数据表customeregister（顾客注册信息） classtable(顾客等级) customerhistory（顾客消费信息）customerole（顾客角色） ordertable(定单) ordertable(定单) subclass(商品子类) productioninfo(商品信息)第五章 安全分析一、概述 本章重点在于对jsp安全问题进行分类阐述和部分解决的方案。jsp技术允许把java代码逻辑嵌如到html和xml文档之内，为创建和管理动态www内容带来了方便。jsp页面由jsp引擎预先处理并转换成java servlet，此后如果出现了对jsp页面的请求，web服务器将用相应的servlet输出结果作为应答。虽然jsp和servlet在功能上是等价的，但是和servlet相比，jsp的动态内容生成方法恰好相反。jsp是把java代码嵌入到文档之中，而不是把文档嵌入到java应用之中。为访问外部功能和可重用的对象，jsp提供了一些用来和javabean组件交互的额外标记，这些标记的语法和html标记相似。html语法属于jsp语法的一个子集，但反过来不一定正确，jsp允许在标记内嵌入其他标记，这种结构增加了安全问题的复杂性，其包含的相互协作的子系统之间的交互常常是安全隐患的根源。二、典型分析jsp安全漏洞：（一）源代码暴露类 添加特殊后缀引起jsp源代码暴露 插入特殊字符串引起jsp源代码暴露 路径权限引起的文件jsp源代码暴露 文件不存在引起的绝对路径暴露问题（二）远程程序执行类（三）其他类别这些类别的范围就有点大了，可以包括数据库如sql server、oracle 、db2等的漏洞，也可以包括操作系统如windowsnt/2000、linux等的漏洞。三、安全启示 通过上面内容可以看出jsp同asp一样还是存在着很多安全上的问题的。第六章j2ee和高级一、j2ee的核心api人们普遍需要一种能够提供通用服务的计算平台，来解决