（系统工程专业论文）基于ASP的考试报名系统的分析与实现.pdf

华中科技大学硕士学位论文 摘要 随着i n t e r n e t 在高校日常管理中逐步普及，使用远程考试报名系统，对考生资 料等信息进行管理与维护，具有检索迅速、操作方便、可靠性高、存储量大、保密 性好、寿命长、成本低等优点，能够极大地提高考试报名的效率，也使高校办公更加 科学化，正规化管理。 本文分析了学校网络建设的现状，提出并实现了“基于a s p 的考试报名系统的 分析与实现”，我们提出通过w e b 服务器将考生的报名请求提交给数据库服务器，并 将数据库服务器的处理的结果以w e b 网页的形式返回给用户的系统构建思路和方案， 实现了本校的考试报名与信息发布，为考务人员和考生提供一种充足的信息和快捷 的数据处理和查询手段。 本文首先针对基于a s p 的考试报名系统进行了需求分析，详细阐述了本系统要 实现的功能。 在系统需求分析的基础上阐述并分析了本系统的开发背景、设计思想和设计方 案，提出了基于a s p 的考试报名系统的体系结构，并进行了软件开发体系结构的选 择。 针对基于a s p 的考试报名系统进行了系统详细设计，并具体实现了各个系统模 块，包括前台和后台的处理模块、系统的信息处理及内部数据管理等基本功能。 提出基于a s p 的考试报名系统的安全性控制方案，通过分别在服务器i i s 服务 的安全性、考试系统本身的安全性、a s p 页面的安全性以及数据库的安全性等方面进 行控制，保证了程序代码的保密性以及考试系统的正常运行，有效地防止了访问者 采用非法途径对本系统的破坏。 关键词：a s p ，考试报名，i i s ，体系结构，远程 华中科技大学硕士学位论文 a b s t r a c t w i t ht h ep o p u l a r i z a t i o no fi n t e r a c ti nh i g hs c h o o ld a i l ya f f a i r s t h e r ea r cm a n y a d v a n t a g e st ou t i l i z er e m o t ee x a m i n a t i o nr e g i s t r a t i o ns y s t e m ，s u c ha sf a s tr e t r i e v a l ， c o n v e n i e n to p e r a t i n g , h i g hr e l i a b i l i t y , h i g hs e c u r i t y , m a 鼹s t o r a g e ，l o n gu s i n gl i f ea n dl o w c o s t i t nh i g h l yi m p r o v et h ee f f i c i e n c yo fr e g i s t r a t i o n , a n dm a k eh i 【g hs c h o o ld a i l y a f f a i r sm o r cs c i e n t i f i ca n dr e g u l a ra sw e l l i nt h i st h e s i s ，t h ec u r r e n ts i t u a t i o no f h o o ln e t w o r kc o n s t r u c t i o ni sa n a l y z e d e x a m i n a t i o nr e g i s t r a t i o ns y s t e mb a s e do na s pt e c h n o l o g yi sp r o p o s e da n dr e a l i z e d t h e r e g i s t r a t i o nr e q u e s to fe x a m i n e ei ss u b m i t t e dt od a t a b a s es c i v e r , a n dt h er e s u l ti sr e t u r nt o u s e ri nw e bp a g e s i nt h i sw a y , e x a m i n a t i o nm a n a g e r sa n de x a m i n e ec a ne f f i c i e n t l y o p e r a t ea n dq u e r yw h a tt h e yw a n t a tf i r s t ，t h es y s t e mr e q u i r e m e n ta n a l y s i si s 芦o p o s e d ；t h ed e s i r e df u n c t i o n sa r e d e s c r i b e di nd e t a i l s e c o n d l y , t h ed e v e l o p m e n tb a c k g r o u n d ，d e s i g nm e t h o da n ds c h e m eo f t h es y s t e ma r e a n a l y z e da n dd e s c r i b e d t h es o f t w a r ea r c h i t e c t u r ei sp r o p o s e d , a n dt h es e l e c t i o no f s o f t w a r ei si n t r o d u c e d t h i r d l y , t h es y s t c mm o d u l e s a r ec a r e f u l l yd e s i g n e da n dr e a l i z e d ，i n c l u d i n g f o r e g r o u n da n db a c k g r o u n dp r o c e s s i n gm o d u l e s ，s y s t e mi n f o r m a t i o np r o c e s s i n gm o d u l e a n di n n e rd a t am a n a g i n gm o d u l e f o u r t h l y , t h es e c u r i t yc o n t r o ls c h e m eo ft h i ss y s t e mi sp r o p o s e d t h r o u g hs e c u r i t y c o n t r o lo ni i ss e r v i c eo fs e r v e r , e x a m i n a t i o ns y s t e m ，a s pp a g e sa n dt h ed a t a b a s e ，t h e p r o g r a mc o d e sc a nb es a f e l yg u a r a n t e e d ，a sw e l la se x a m i n a t i o ns y s t e m ss a f er u n n i n g t h eb r e a kb yi l l e g a lv i s i t o r sc a nh ee f f e c t i v e l y p r e v e n t e d k e yw o r d s ：a s p ，e x a m i n a t i o nr e g i s t r a t i o n ，i i s ，a r c h i t e c t u r e ，r e m o t e 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个 人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：香话扣爿； 日期：z 卯6 年1 1 月君日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密口，在年解密后适用本授权书。 本论文属于 不保密口。 ( 请在以上方框内打“4 ”) 学位论文作者签名痞i i ，知； 日期：2 神6 年j f 月8 日 指导教 日期： 华中科技大学硕士学位论文 1 绪论 1 1课题的提出、可行性分析及研究意义 1 1 1 课题的提出 网络的基本功能是完成计算机之间以及计算机用户之问的互相通信与交往，实现 软硬件资源共享、计算机之问和计算机用户之间的相互协作。网络的基本特点就是 实现资源共享。 资源共享能实现教育资源不受时间、空间等限制，作为网际联络平台支持重要组 成部分的基于a s p 的考试报名系统也不例外。 考试是校园教育系统的一个重要组成部分，考试报名系统是一个教育单位不可 缺少的部分，对于学校的决策者和管理者来说至关重要。针对高校每年不同规模的 考试累计次数多，传统的考试管理也呈现出如下的特点： 1 ) 学校院、系较多，考试科目复杂。 高校学生( 考生) 多，考试类型多样。 3 ) 时间集中，地点集中。 考生填写个人信息费力费时。 5 ) 负责报名的考务人员劳动强度大。 6 ) 考试信息的发布不及时。 这些问题给高校考试主管部门带来了巨大的工作量。但一直以来人们使用传统 的人工方式管理文件档案，这种管理方式存在着许多缺点，如：效率低、保密性差。 另外时间一长将产生大量的文件和数据，对于查找、更新和维护都带来很大的困难。 随着科学技术的不断提高，计算机科学日渐成熟，i n t e m e t 的强大功能己为人们深 刻认识，它已在人类社会的各个领域并发挥着越来越重要的作用，在高校的日常管理 中也逐步使用到i n t e r n e t 。使用网上考试报名资料的信息进行管理。比手工管理具有 华中科技大学硕士学位论文 明显的优点。例如：检索迅速、操作方便、可靠性高、存储量大、保密性好、寿命长， 成本低等。这些优点能够极大地提高考试报名的效率，也是企业科学化、正规化管理， 最终实现“无纸”办公的重要条件。 目前，基于计算机网络技术的报名系统大都建立在传统网络数据库访问技术上， 需要开发客户和服务器软件，其模式为c s 结构，也有b s 模式的远程报名系统，c s 与b s 结构各有优缺点，因此就提出了c s 与b s 混合体系结构的远程报名系统的 研究。 1 1 2 系统的可行性分析 可行性分析也称为可行性研究，是在系统调查的基础上，针对新系统的开发是否 具备必要性和可能性，对新系统的开发从技术、经济、社会的方面进行分析和研究， 以避免投资失误，保证新系统的开发成功【1 1 。可行性研究的目的就是用最小的代价在 尽可能短的时间内确定问题是否能够解决该系统的可行性分析包括以下几个方面 的内容。 1 ) 经济可行性：主要是对项目的经济效益进行评价，本系统作为校级一个科研项 目，实施后可以显著提高考试报名的工作效率、节约开支，有助于学院完全实现网络 化管理，所以本系统在经济上是可行的。 2 ) 技术上的可行性；技术上的可行性分析主要分析技术条件能否顺利完成开发工 作，硬、软件能否满足开发者的需要等。该管理系统采用了b s 与c s 混合模式进 行开发。结合了i n t e r n c t i n t r a n e t 技术。数据库服务器选用微软公司的a c c e s s 和 s q ls e r v e r 数据库，它能够处理大量数据，同时保持数据的完整性，提高数据的稳 定性，并提供许多高级管理功能。它的灵活性、安全性、易用性和稳定性为数据库 编程提供了良好的条件。因此，系统的软件开发平台已成熟可行。硬件方面，科技 飞速发展的今天，硬件更新的速度越来越快，容量越来越大，可靠性越来越高，价 格越来越低，硬件平台完全能满足此系统的需要。 3 ) 时机可行性：目前，大学的校园网路覆盖了教学区和学生区的主要建筑物及部 分家属宿舍，从而满足校内各学院，各职能部门，各直属单位需求。学校良好的网 2 华中科技大学硕士学位论文 络设施为开发使用网络考试报名与信息发布系统提供了坚实的基础。 4 ) 管理上的可行性：主要是教务处的考务人员大力支持，现有的管理制度和方法 科学，规章制度齐全，原始数据正确等。规章制度和管理方法为系统的建设提供了 制度保障 综上所述，此系统开发目标已明确，在技术和经济等方面都可行，并且投入少、 见效快。因此系统的开发是完全可行的。 1 1 3 课题的研究意义 软件工程技术、信息通信技术的快速发展以及计算机网络技术的日趋成熟，为 远程的信息交流的发展带来了新的机遇，注入了新的活力传统的考试报名管理模 式暴露出许多缺陷与不足，已经不能适应当今新情况考试方式的改革是学校教学 改革的重要内容之一，随着学校教学改革的不断发展随着计算机技术的发展出现了 单机版和网络版的报名系统，单机版的优点是报名工作只需一台计算机，缺点是在 同一时间里只能有一个考生报名。网络版在同一时间可以有几个考生同时报名但是 它需要在每台终端上都安装报名系统，工作强度仍然很大，基于i n t e m e t 的远程报 名系统，它们大多采用了w e b 方式，能适用于局域网和i n t e r a c t ，适应了社会以及 网络发展的需求，但是网络版要求客户端都要安装相应的软件，降低了工作效率， 已经不适应当前高速发展的信息社会，而本系统能够适应高校考务管理环境的远程 报名系统。 1 2 国内外研究现状 二十一世纪是信息时代，i n t e m e t 、e m a i l 、v i r t u a lr e a l i t y 己不再是一些充满想 象的新名词，逐渐成为了现实生活的有力补充。随着网络的高速发展，如何通过网 络开展教育进行远程报名已经成为人们密切关注的焦点问题之一。 网络是一种互动式的媒体传播手段。它意味着在网络中的每名成员不仅可以主 动的将信息发送给其他成员，也可以通过网络得到信息，这一特点为网络成为远程 互联领域奠定了基础。 3 华中科技大学硕士学位论文 i n t e m e t 大潮己开始影响我们生活中的方方面面，网络远程报名就是其中之一。 在国外，网络远程报名已经得到了突飞猛进的发展，各所大学、高职学院都进行了 积极的相关方面的探索。 在国内，2 0 0 5 年i e l t s 考务改革率先在济南推行考生上网十分钟完成报名，使 i e l t s 考试不再“报名难”该系统将提高i e l t s 考试服务的效率和专业程度，英国 文化协会驻华办事处考试业务总管b r e n d a nm e s h a r r a y 表示：“我们希望这些改进可 以使每位考生的i e l t s 考试经历变的更加愉快”。2 0 0 6 年3 月人事部人事信息中心 主任刘海库感叹表示，通过与微软公司合作，国家公务员考试报名系统真正的使公 务员公平录取的原则落到了实处。还有许多政府和单位的考试都采用了远程报名方 式，如每年的研究生考试报名等等。 但是大多数远程报名系统面向的用户不同，要完成的功能不同，使用的技术与开 发工具也不相同。例如全国计算机等级考试网上报名系统采用了b s 模式的网络数 据库，而客户端采用了f r o n t p a g e 作为编程工具，采用f r o n t p a g e 语言开发出的软件 是静态的，这样就造成了用户前台操作的界面单一、呆板，缺乏信息的交互，例如 早期开发网站大多是由若干个静态的网页组成。 现在大多数远程报名系统采用a s p 技术，它提供了一个在服务器端执行指令的环 境，这些指令包括h t m l 语言、m i c r o s o f tv b s c r i p t 和m i c r o s o f tj s c r i p t 等，因此就可 以制作出功能强大的w e b 应用程序，用户可以通过浏览动态网页来进行信息的交互， 这样就必须有后台数据库的支持，才能完成信息交互，工作原理如图1 - 1 所示。在基 于a s p 的技术下采用的数据库的结构不同，系统处理数据的安全性和数据的动态交 互性都会不同，常见的数据库结构有c 搐结构和b s 结构。 图1 - 1 读取a s p 网页过程 4 华中科技大学硕士学位论文 1 3 课题研究的目的及创新点 1 3 1 课题的研究目的 1 ) 以远程考试报名系统为案例，进一步掌握需求工程的实践过程，掌握面向对 象的软件系统分析与设计方法。 2 ) 研究基于b s 模式或b s 与c s 混合模式的远程考试报名系统的体系结构与 实现。 3 ) 从方便性、安全性、通用性等多方面入手，克服传统考试报名的局限性，提 高工作效率。 1 3 2 课题创新点 本课题将多项考务功能集合在起： 1 ) 考生考试前进行报名，通过考试信息的发布，考试结束考生查询考试成绩。 2 ) 能进行集体报名。为提高工作效率，本系统预留了信息批量上传功能，包括 学生注册信息和考试成绩信息。 3 ) 报名后仍能进行信息的维护( 个人注册资料的更新和考试信息的维护) 。 4 ) 系统邮件功能，系统邮件实际采用站内消息处理，这样可以方便地实现信 息的无误传输，并采用语音提醒功能，使系统使用者能有更好的操作体会。通过站 内邮箱使前台的考生与后台的考务人员能互动。 1 4 本文结构 第一章：绪论。介绍本课题的提出、课题的意义、现状，以及课题的创新。 第二章：系统基本概念与需求分析。“高校考试报名系统基本概念”是基于互联 网技术而设计，利用计算机快速运算特点，高效益高效率，采用现代化高科技手段 来进行高校考试报名与信息发布。在本章对系统进行了需求分析，详细阐述了系统 所应有的功能，以及开发本系统的思路。 5 华中科技大学硕士学位论文 第三章：系统的体系结构分析以及开发、应用环境分析，对软件体系结构的选 择和本系统体系结构进行了分析并对a s p 技术和系统的开发工具和开发平台进行了 简单介绍，确定了系统的开发及应用环境。 第四章：系统总设计与实现。介绍本系统的功能流程图、系统功能设计、数据 流设计、数据库的选择与设计，以及其优越性并对本系统的主要界面与核心代码进 行说明。 第五章：系统的安全性控制，就a s p 、i i s 安全漏洞进行详细的探讨 全文总结：对系统的总结与展望。 华中科技大学硕士学位论文 2 系统的基本概述与需求分析 2 1 系统基本概念 网络的出现与发展，使以因特网为主要标志的网络技术构成了现代技术文化的 重要部分，将人类带入了一个全新的数字化时代，拓展了人类的第二生存空间 网络社会。在网络社会的大背景下，网络技术与教育更是结下不解之缘，美国在1 9 9 8 年公布了i n t e r a c t 计划，宣布要使每一所学校、每一间教室、每一家庭和每一个美 国公民都能享受i n t e r a c t 带来的全新的学习环境；英国政府建议成立网上工业大学， 并推出“全国学习网”，目标是到2 0 0 2 年使英国3 2 万所中小学全部进入因特网； 我国教育部1 9 9 9 年推出 数据库操作 图4 - 1 系统功能流程图 华中科技大学硕士学位论文 4 2 系统功能设计 为了更好更合理的开发本系统，应先进行模块化设计模块之间可以独立设计， 以便设计可以同时进行，缩短开发时间。 最后模块可进行独立测试，最终构成一个完整的系统经过前期的分析，本系统 分为以下几大模块：系统信息采集模块，个人资料管理模块，考生报名模块，成绩 查询模块，反馈问题建议模块，站内邮箱模块，系统信息发布模块，处理考生数据 模块，分配准考证号模块，发布考试信息模块，后台数据处理模块，解决考生问题 模块，如下图4 2 所示： 图4 _ 2 系统功能设计模块 用户通过m 浏览器登陆到本系统。如果是普通用户，第一次登陆需要进行用户 注册，在注册信息里要填上用户的详细、真实的个人信息，才能被成功注册，注册 成功以后就可进行前台的操作，即可进行系统信息采集、个人资料管理、考试报名 华中科技大学硕士学位论文 ( 个人报名或者集体报名) 、成绩查询等 如果是管理员，登陆以后即可进行系统信息发布、处理考生数据、分配准考证 号、对考试成绩信息进行发布，对后台数据库进行维护。 4 3 系统数据流设计 4 3 1 系统的第一层数据流程设计 1 ) 前台考生将报名后的数据传送到后台进行数据的处理与分析。 2 ) 对于报名合格的学生数据，返回给考生，提示报名信息错误，要求考生重新 报名。 3 ) 对于报名合格的学生数据，在后台继续进行数据处理，给考生分配准考证号 码，并把准考证号码返还给前台考生 4 ) 考生数据从前台向后台传送，在后台进行数据的处理。 5 ) 考生数据从后台向前台传送，将后台数据处理过的数据传送给后台，如图4 - 3 所示： 台传送 图4 - 3 第一层数据流程图 华中科技大学硕士学位论文 4 3 2 系统的第二层数据流程设计 在后台对报名数据进行具体的数据处理，如图4 _ 4 所示： 4 4 数据库选择与设计 图4 4 第二层数据流程图 在充分考虑了系统使用范围，使用人数及后期维护成本的情况下，本系统采用 a c c e s s + s q ls e r v e r 数据库来实现数据逻辑。 从系统开发的角度来看，数据库应用系统具有结构特性和行为特性两个方面。 结构特性的设计 结构特性与数据库状态，即数据模型所反映的实体及其实体间联系的静态特性有 关。结构设计就是设计各级数据库模式，决定数据库系统的信息内容。 行为特性的设计 华中科技大学硕士学位论文 行为特性与数据库状态的转换有关，即改变实体及其特性的操作。它决定数据 库系统的功能，包括事务处理等应用程序的设计。整个数据库系统建设过程划分为 系统分析和设计、系统实现和运行两大阶段。 4 4 1 数据库系统的分析和设计 1 ) 安全相关表 为防止黑客直接下载服务器上的数据库文件，后期会把数据库文件后缀名改 为a s p ，并在文件中加入一行错误的a s p 指令。本系统在数据库中加入一个名为 的空表来实现上述功能。 将文件名改成a s p 后，在客户端访问数据库文件时，将使文件首先通过a s p 脚本 引擎，因为 本身为一条语法有误语句，因此必定会出现服务器端运 行错误提示，从而中止文件下载操作，起到一定的自我保护作用。 2 ) 系统管理员表 系统管理员表保存着本系统中所有管理员账号信息，此表结构如下： 表4 - 1 系统管理员表结构 i du s e r n a m e p a s s w o r do s k e yl a s t l o g i n l pl a s t l o g i n t t m el o g i n y t m e s 0 u e s f i o na n s w c l 账号名称加密密码权限集最新登陆地最新登陆时间登陆次数问题答案 3 ) 个人会员系统表 此表存储所有个人会员的账号人信息及个人信息对于个人用户系统不给予系 统操作权限，因此设计时没有在个人会员表中添加权限集字段。详情请通过a c c e s s 查看。 华中科技大学硕士学位论文 4 ) 系统留言表 通过留言功能，管理员可以方便地收集网友信息反馈并进行回复性处理。 表4 - 2 系统留言表结构 im 昵称o i c q e m a i lh o m e l p 内容时间 t m a g e 回复 l 5 ) 站内邮件表 通过站内邮件系统，所有用户可以很方便的进行线上交流，管理员更可以进行消 息广播，方便而高效。 表4 3 站内邮件表结构 h 他i d s e n d i dt i t l em a i l t e x tl s n e 、vs e n d d a t e 接收账号发送账号发送时间 6 ) 数据型表 包含系院部表、班级表、民族数据表，数据型表就是为了方便生成脚本及管理， 不会经常性改动。 7 ) 系统配置表 此表保存系统相关配置信息，如版权信息、系统邮箱、系统名称等等。 8 ) 网上调查系统表 此表结构一次可以发布最多6 项调查选项，基本能满足日常需要。 华中科技大学硕士学位论文 9 ) 友情链接系统表 友情链接系统是一个提高网站知名度的一种好办法，通过这种数据库实现方法， 可以让管理统计更为方便。 1 0 ) 新闻信息相关表 此表包含c a l l b o a r d ，e x a m i n f o ，p o l i c y 三个表，其中c a l l b o a r d 表保存系统 消息栏目数据，e x a m i n f o 表保存考试信息栏目数据，p o l i c y 表则负责政策法规和考 试指导两个栏目数据。三表结构基本一样，分开只为方便管理，并实现稍微个性化 处理。 1 1 ) 考试信息表 此表主要保存各类考生成绩，通过多表联合查询实现信息输出 4 4 2 数据库系统实现和运行 数据具体操作过程中的数据库存储过程： 以下是报名过程的存储过程框架，通过输入准考证号和密码来进行选专业及课程 操作( 用s q ls e r v e r 的存储过程来实现) c r e a t e p r o c b m ( z k c o d e v a r c h a r ( 2 0 ) ， p a s s 2 w o r d v a r c h a r ( 1 0 ) ) a s b e g i n ( 略) e n d 4 5 系统的实现 本程序采用结构化编程，安全性加密方法将采用改编过后的m d 5 加密方法，核 心代码包括公用代码，前台代码和后台代码，其中公用过程与函数和公用代码片断 3 0 华中科技大学硕士学位论文 都主要放到i n c 文件夹下的c o n n a s p 、c o n f i g a s p 、f u n c t i o n a s p 等包含文件中，以便 其它程序调用 其中c o n n a s p 文件包含了数据库链接的核心代码： c o n f i g a s p 文件是取得系统配置和前台布局参数，初始化系统启动，代码如下： ( ! - - # i n c l u d ef i l e = ”o o l m a s p ”一 华中科技大学硕士学位论文 4 6 系统的前台主要界面 4 6 1 前台的主体界面 前台主体界面主要由系统公告、考试信息、政策法规和考试指导四大模块组成 的，其显示的风格和布局完全不一样，但它们却是通过调用同一个子过程式( s u b l i s t s h o w n e w 0 ) 赋予不同的参数时运行出来的结果界面如图4 5 所示： 图4 - 5 前台操作系统的主体界面 该过程需要赋予1 1 个参数才得予完成，分别为要查询的数据关系表( t a b l e s ) 、查 询的条件( c o n d i t i o n ) 、每页显示条数o o p n m ) 、标号样式( t i a v p i e ) 、返回定长标题 ( c u t t i t l e ) 、是否显示分界线索( s h o w l i n e ) 、发布时间显示样式( s h o w p u b t i m e ) 、下面的四 个参数只要是设计输出表格的宽、长、对齐方式以及边f 砸( t a b l c w i d t h ，t a b l e a l i g n , s p a c i n g , p a c i n g ) 。标号样式有三类： 1 ) “d e f a u l t ”样式，系统默认标号为下图示考试信息所显示的绿色小圆图标； 2 ) 自定义图标，直接把图片的路径以字符串形式传递就行了，( 最新公告的标号) 3 ) 为“x _ c o l o r ”的形式，“x ”可以是任何一个符号( 串) ( 政策法规的标号) ， 如果“x ”为“n u m l i s t ”时则为数字列表编号( 考试指导的标号) ，而“c o l o r ”则是 3 2 华中科技大学硕士学位论文 标号的显示颜色。 其中上述四大模块的信息列表( s u bl i s t s h o w ( ) ) 核心代码思想是一样的只是 在上述功能中加了一个分页功能。 4 6 2 前台考生的登录界面 系统登录界面在物理上与首页融为一体，但在逻辑上却将管理员和考生登录融 为一体 先检验用输入的信息是否有效，再从用户数据表“s c f l i s l ) 中查找是否存在该用户 和密码是否正确，如果存在则为考生登录成功，否则再查找管理员表( a d m i n ) 同样检 测用户和密码是否正确，如果正确则为管理员登录成功，否则将返回错误信息，登 录不成功。这样为了是限制权限登录，其登录后界面如图4 6 所示： 图4 _ 6 用户登陆界面 登录界面显示的验证码采用二进制流将二进制信息写成b m p 位图格式，有效地 防止了别人恶意暴力破解。 4 6 3 前台考生系统主要操作界面 1 ) 前台考生系统功能主界面如图4 - 7 所示，考生登陆以后进入此界面以后可进 行考试信息的查询、考试报名、考试成绩的查询、向站内的考务人员发送信息。 华中科技大学硕士学位论文 名。 图4 - 7 前台考生系统功能主界面 2 ) 个人报考信息如图4 - 8 所示，在此模块考生可通过点击考试信息进入考试报 图舢8 个人报名信息界面 3 ) 成绩查询系统界面如图4 - 9 所示，在此模块考生通过输入正确的准考证号和 选择考试科目，可进行考试成绩的查询。 华中科技大学硕士学位论文 图4 - 9 个人成绩查询系统界面 4 7 基于a s p 的考试报名系统的后台主要界面 4 7 1后台数据处理的主要界面 后台就是服务器端，在此模块考务人员可对已经进行过报名的考生分配准考证 号，对已经结束的考试发布成绩，并可对校内的部门进行管理。 图4 - 1 0 后台数据处理的主要界面 华中科技大学硕士学位论文 4 7 2 后台信息发布的主要界面 图4 - 1 1 后台信息发布的主要界面 在此模块用于考务人员对考试相关信息的发布。 4 8 系统的公用模块主要界面 图4 - 1 2 公共模块的主要界面 此模块是公共模块，在此模块内，前台的考生与后台的考务人员可通过邮件进 行信息交流。 华中科技大学硕士学位论文 5 系统的安全性控制 高校考试报名系统将在网上发布，系统的安全性是一个至关重查的话题系统 的安全性应当考虑两方面，一是系统本身的安全，二是系统使用者的安全。本系统 从设计初始即充分考虑了系统安全性问题。下面将从安全性的产生原因与防范方法 进行讨论。 5 1i i s 的安全性问题 a s p 具有灵活、简单、实用、强大的特性，但其本身的一些缺陷、漏洞，下面 就a s p 、i i s 安全漏洞进行详细的探讨。 5 1 1i i s 的最新安全漏洞受影响的系统 i n t e r n c ti n f o r m a t i o ns e r v e r4 0 ( a s 钔 m i c r o s o f tw i n d o w sn t4 0s p 3o p t i o np a c k4 m i c r o s o f tw i n d o w sn t4 0s p 4o p t i o np a c k4 m i c r o s o f tw i n d o w sn t4 0s p 5o p t i o np a c k4 微软已经证实在其发布的w e b 服务器产品i n t e r a c ti n f o r m a t i o ns e r v e r 4 0 中 存在一个严重的系统漏洞，该漏洞导致对于 i s 服务器的“服务拒绝攻击”，在这种 情况下，可能导致任何二进制代码在服务器上运行 5 1 2 漏洞介绍 i s 支持多种需要服务器端处理的文件类型，譬如：a s p 、a s a 、i d c 、h t r 等 等。当一个w e b 用户从客户端请求此类文件时，相应的d l l 文件将自动对其进行 处理。然而在i s m d l l 这个负责处理h t r 文件的文件中被发现存在严重的安全 漏洞。( 注：h t r 文件本身是用来远程管理用户密码的) 该漏洞包含了一个在 i s m d l l 中未经验证的缓冲，它可能对w e b 服务器的安全运作造成威胁，威胁来 3 7 华中科技大学顽士学位论文 自服务拒绝攻击，一个来自非正常的对h t r 文件的请求将导致缓存溢出，从而直接 导致i i s 崩溃。 5 1 3 原理分析与解决途径 如果i i s 支持的文件出现溢出，可推测将在i i s 把完整的u r l 传递给d l l 去 处理扩展名时发生如果i s a p id l l 没有正确的检查限制范围从而导致 i n e t i n f o e x e 产生一个溢出，用户就从可以远端执行二进制代码。 由于目前微软尚未发布可供使用的补丁程序，因此只能做一些应急的防范。 1 ) 将m 限扩展名从i s a p id l l 的列表中删除。 2 ) 安装微软提供的补丁程序，请关注以下网址 h t t p ：w w w m i c r o s o f t c o m s e c u r i t y h t t p ：w w w m i c r o s o f t c o m s e c u r i t y p r o d u c t s i i s c h e c k l i s t a s p 进行网络编程、开发交互性的网站之前，应该首先发展、建设自身网站，但是 这一些都是建立在安全的基础上，这里的安全包括对自己辛辛苦苦开发的a s p 或其 他网络应用程序代码的保护、确保网站服务器安全正常的运行、确保用户信息的安 全及认证等等 3 ) 使用最新版本的m i c r o s o f ti n t e r n e ti n f o r m a t i o ns e r v e r 4 0 ，并安装n t 最新版 本的s e r v i c ep a c k 5 ，服务器的文件系统不要使用f a t ，应该使用n t f s 。 4 ) 把s 中的s a m p l e 、s c r i p t s 、i i s a d m i n 和m s a d c 等w e b 目录设置为禁止匿 名访问并限制口地址。在微软还没有提供补丁之前，把i s m d l l 有关的应用程序映 射删除。 5 ) 有条件的话就采用防火墙机制，最简单的如w e b 服务开在前台，目录放在 后台，如果能一个服务一台计算机当然最好。 6 ) w e b 目录，c g i 目录，s c r i p t s 目录和w i n n t 目录等重要目录要用n t f s 的 特性设置详细的安全权限，包含注册表信息的w i n n t 目录只允许管理员完全控制， 一般的用户只读的权限也不要给。凡是与系统有关的重要文件，除了a d m i n i s t r a t o r ， 其它账号都应该设置为只读权限，而不是e v e r y o n c 碰：控制。 7 ) 只打开需要的服务，禁止所有不应该打开的端口。 华中科技大学硕士学位论文 8 ) 管理员的账号要设置得复杂一些，建议加入特殊字符。 9 ) 把f t p ，t e l n e t 的t c p 端口改为非标准端口，通常设置到1 0 ( 0 0 - - 6 5 0 0 0 的 范围。 1 0 ) 删除可以删除的所有共享，包括打印机共享和隐藏的共享如i c p $ , a d m i n $ 等。 1 1 ) 将a s p 的目录集中管理，a s p 的程序目录设置详尽的访问权限，建议不 使用“读”权限。 1 2 ) 把w i n n t 下的s a m & 件改名，实践证明这个可能泄露密码的文件可以不 要。 1 3 ) 对于已知的n t 安全漏洞，都应该在自己的机器上做测试检查。并及时安 装补丁程序。 1 4 ) 有必要的情况下采用i i s 4 0 提供的s s l 安全通信机制来防止数据在网上 被截获 5 2 系统本身的安全问题 w e b 数据库系统本身安全问题主要来自以下两个方面： 1 ) 服务器空间的安全性 通常在服务器没有设置完备的情况下，黑客可以通过使用同台服务器上的另一 个空间账号权限去读取甚至修改程序。这种情况和产品本身是没有多大关系的，需 要空间提供商加以保护。 2 ) 程序上传危险性 在网上发布的程序通常支持上传功能( 例如程序中有一项上传照片的功能) ，如 果不对上传的文件类型做一定的限制，那么黑客同样可以上传一个a s p 程序到空间 上，这等于给黑客一个完全开放的空间，黑客可以攻击该空间。所以对于w e b 程序， 所有的上传接口都需要严格把关。 华中科技大学硕士学位论文 5 3 数据库的安全性 在s + a s p + a c c e s s 网站中，可通过各种方法获得或者猜到数据库的存储路径 和文件名，则该数据库就可以被下载到本地。 由于a c c e s s 数据库加密机制过于简单，有效地防止数据库被下载，就成了提高 a s p + a c c e s s 解决方案安全性的重中之重以下两种方法简单、有效。 1 ) 非常规命名法 为a c c e s s 数据库文件起一个复杂的非常规名字，并把它放在几个目录下。例如， 对于网上书店的数据库，我们不把它命名为“b o o k m d b ”或“s t o r e m d b ”，而是起个非 常规的名字，例如：f ：l q 9 j 1 m d b ，再把它放在如a k k t k j 6 1 a c d a v 5 的几层目录下，这样 黑客通过猜的方式得到a c c e s s 数据库文件名就比较困难。 2 1 使用o d b c 数据源。 在a s p 程序设计中，如果有条件，应尽量使用o d b c 数据源，不要把数据库名 写在程序中，否则，数据库名将随a s p 源代码的失密而一同失密，例如： d b p a t h = s e r v e r m a p p a t h ( “a k k t k j 6 1 a c d a v s f a q 9 j 1 m d b ，) c o n n o p e n “d r i v e r = m i c r o s o f ta c c e s sd r i v e r ( + m d b ) ) ；d b q = ”& d b p a t h 可见，即使数据库名字起得再怪异，隐藏的目录再深，a s p 源代码失密后，也 很容易被下载下来。如下使用o d b c 数据源，c o n n o p e n = “o d b d d s n 名”，就不 会出现数据库随着a s p 源代码一起丢失。 5 4a s p 页面的安全性 1 ) 源代码安全性隐患 由于a s p 程序采用非编译性语言，大大降低了程序源代码的安全性。如果黑客侵 入站点，就可以获得a s p 源代码；同时对于租用服务器的用户，因个别服务器出租商 的职业道德问题，也会造成a s p 应用程序源代码泄露。 2 1 程序设计中容易被忽视的安全性问题 华中科技大学硕士学位论文 a s p 代码使用表单实现交互，而相应的内容会反映在浏览器的地址栏中，如果 不采用适当的安全措施，只要记下这些内容，就可以绕过验证直接进入某一页面。 例如在浏览器中敲入“。p a g e a s p ? x = l ”，即可不经过表单页面直接进入满五，x = 1 ”条件 的页面。因此，在验证或注册页面中，必须采取特殊措施来避免此类问题的产生 为有效地防止a s p 源代码泄露，可以对a s p 页面进行加密 我们曾采用微软的s c r i p te n c o d e r 对a s p 页面进行加密。s c r i p te n c o d e r 的运行 程序是s c r e n c e x e ，使用方法是： s c r e n c 【，s 1 【偈【x 1 1 d e f l a n g u a g e1 【，cd e f e x t e n s i o n li n p u t f i l eo u t p u f f i l e 其中：s 是屏蔽屏幕输出；，f 指定输出文件是否覆盖同名输入文件；x l 指是否 在a s p 文件的顶部添加 l a n g u a g e 指令：1d e f l a n g u a g 指定缺省的脚本语言； e d e t e x t e n s i o n 指定待加密文件的扩展名。 5 5 用户的注册验证 一个多用户系统最基本的问题就是如何隔离在线用户，确保用户只对自身数据 产生效果。在此运用的是最简单的处理方法是使用s e s s i o n 对象进行注册。注册验证 为防止未经注册的用户绕过注册界面直接进入应用系统。假设不采用s e s s i o n 对象进 行注册验证，则用户在教! 览器中输入“u r u h r m i s a s p ? p a g e = l ”即可绕过注册界面，直 接进入系统。在此，利用s e s s i o n 对象进行注册验证。 通过对i i s + a s p + a c c e s s 网上应用系统安全性的研究，对现有系统进行了改造， 收到了较好的效果。 4 1 华中科技大学硕士学位论文 6全文总结 信息通信技术的快速发展以及计算机网络技术的日趋成熟，为远程教育的发展 开来了新的机遇，注入了新的活力远程教育促进了教育思想、教育方法和教育手 段的更新，基于a s p 的考试报名系统是远程教育不可缺少的组成部分，是远程教育 的重要环节 论文在以下几方面有自己的特色：本系统根据考生和考务人员对远程报名与信 息发布的不同需求，设计了基于a s p 的考试报名系统，本系统采用了a s p 技术，适 用于局域网和互联网，克服传统考试报名的局限性，通过站内邮件传送达到信息交 互。系统界面友好，结构简单，操作简便，使考务工作变的方便、高效。研究了基 于b 幅与c s 混合模式