在线交易系统设计文档.doc

系系 统统 设设 计计 书书 版本 1 0 任 环 2013 12 25 Abstract Draw your reader in with an engaging abstract It is typically a short summary of the document When you re ready to add your content just click here and start typing 目目 录录 0 版本版本 3 1 简介简介 3 2 系统架构设计系统架构设计 3 2 1 功能结构 3 2 2 系统结构 4 2 2 1 交易系统结构 5 2 2 2 管理系统结构 6 2 3 技术结构 6 3 访问控制的简单设计访问控制的简单设计 7 3 1 访问控制流程图 7 3 2 访问控制流程说明 7 4 数据库设计数据库设计 8 4 1 数据库 E R 图 8 4 2 数据表设计 8 5 图形用户界面设计图形用户界面设计 9 5 1 交易系统界面设计 9 5 1 1 显示首页面 9 5 1 2 分类检索 10 5 1 3 显示商品明细 10 5 1 4 订单列表 11 5 1 5 删除订单 11 5 1 5 添加商品到购物车 12 5 1 6 在购物车中删除一个订单列表 12 5 1 7 修改订单列表中商品数量 13 5 1 8 购物车结算 13 5 1 8 订单确认 14 5 1 9 清空购物车 14 5 1 10 用户登入 14 5 1 11 用户登出 15 5 1 12 用户注册 15 5 1 13 编辑个人基本信息 16 5 1 14 修改密码 16 5 2 管理系统界面设计 17 5 2 1 商品列表 17 5 2 2 添加商品 17 5 2 3 修改商品 18 5 2 4 删除商品 18 5 2 5 管理员登入 19 5 2 5 管理员登出 19 5 2 6 用户列表 20 5 2 7 删除用户 20 6 数据结构设计数据结构设计 21 6 1 用户层设计 21 6 2 控制层设计 21 6 2 1 控制层的类图 21 6 2 2 类图描述 21 6 3 业务层设计 26 6 3 1 业务层类图 26 6 3 2 类图描述 27 6 4 数据层设计 28 7 系统性能分析系统性能分析 28 7 1 数据精确度 28 7 2 时间特性 28 7 3 适应性 28 7 4 系统可靠性 29 7 5 系统安全性 29 7 6 系统完整性 30 8 系统设计过程说明系统设计过程说明 30 9 参考参考 31 0 版本版本 版本标题内容作者时间 1 0B2C 在线交易系统创建任 环12 25 2013 1 简介简介 随着信息技术的发展 信息技术处于传递速度突破了时间和地域性的局限 网 络化与全球化成为一种不可避免的世界趋势 由于网络用户的迅速膨胀 众多的商 家和厂家也纷纷将眼光投向互联网 电子商务是能够在网上完成供 产 销的全部 业务流程的虚拟市场 封闭式的银行电子金融系统已变成开放式的网络电子银行 电子商务是一个发展潜力巨大的市场 极具有发展前景 电子商务双向信息沟通 灵活的交易手段和快速的交货方式的特点 将给社会带来巨大的经济效益 促进了 整个社会的生产力的提高 电子商务的推广 打破了时空限制 改变了贸易形态 有助于降低企业成本和竞争力 电子商务给消费者提供了更多的选择 提供了更好 的便利性 本设计文档的目的是介绍的 B2C 企业对客户 在线交易系统的详细设计过程 的描述 软件设计规范书着重于在线交易系统是如何被构造的 它包括四个模块 软件结构设计描述了整个系统 界面设计开发了用户界面 如图形用户界面 组件 级设计指定组件的系统 类 数据设计描述了所有的数据结构 类 被使用 2 系统架构设计系统架构设计 在软件设计阶段 需要为应用系统确定一个体系结构 在较为复杂的应用系统 中 如果没有一个良好的体系结构会使整个系统异常庞大而且杂乱无章 不利于日 后的维护和扩展 2 12 1 功能结构功能结构 B2C 在线交易系统 包括交易系统和管理系统两个独立的子系统 主要包括 商品展示 购物车管理 我的订单 用户管理 商品管理五个功能模块 图图 1 功能模块图功能模块图 交易系统功能描述交易系统功能描述 1 商品展示 实现商品预览 商品明细 分类检索功能 2 购物车 实现添加商品 删除列表 数量修改 结算功能 3 我的订单 实现订单确认 订单列表 删除订单 查询明细功能 4 用户管理 实现登入 登出 用户注册 信息修改功能 管理系统管理描述管理系统管理描述 1 用户管理 对于系统管理员提供用户删除 用户查询功能 2 商品管理 实现商品列表 商品发布 商品删除 商品修改功能 2 22 2 系统结构系统结构 交易系统和管理系统在系统结构方面完全一致 采用 4 层结构 主要包括 用 户层 控制层 业务层 数据层 表现层 主要负责用户交互和结果显示 交易系统和管理系统有不同的 URL 入口界面 控制层 主要负责系统的访问控制 数据加载和注销 是系统的核心控制单元 控制层通过系统描述来组织工作 业务层 实现了交易系统和管理系统的主要业务逻辑 是系统主要的运算单元 数据层 实现了静态数据和数据库数据的持久化管理 为业务层提供数据服务 是系统进行数据操作的统一界面 2 2 12 2 1 交易系统结构交易系统结构 图图 2 交易系统结构图交易系统结构图 2 2 22 2 2 管理系统结构管理系统结构 图图 3 管理系统结构图管理系统结构图 2 32 3 技术结构技术结构 本技术结构主要是包含了 B2C 在线交易系统设计可能用到的具体技术和工具 3 访问控制的简单设计访问控制的简单设计 3 13 1 访问控制流程图访问控制流程图 图图 4 访问控制流程图访问控制流程图 3 23 2 访问控制流程说明访问控制流程说明 编号消息名称消息说明 1 HttpServletRequest浏览器发来的 HttpServletRequest 请求 2 ActionForm通过 ActionForm 获取 Struts 加载的页面表单数据 3 Exectute根据配置调用指定的Action 指定的方法处理请求 4 ActionForm getXxx 通过 ActionForm 获取页面表单数据 5 BusinessFactory getBusiness获得 Business 对象 6 Business Method调用业务逻辑 7 Import使用 Pojo 进行数据操作 8 DAOFactory getDAO获得 Dao 对象 9 Dao Method调用 Dao 方法 执行数据库操作 10 Return execution result返回 Dao 执行结果 给 Business 11 Return execution result返回 Business 执行结果 给 Action 12 ActionForward findForwardAction 返回执行结果给新的画面 Struts Config xml 配 置 13 HttpServletResponseMappingDispatchAction 返回处理结果给浏览器 4 数据库设计数据库设计 4 14 1 数据库数据库 E RE R 图图 图图 5 数据库数据库 E R 图图 4 24 2 数据表设计数据表设计 类别表 类别表 categorycategory 字段名称类 型约 束描 述 category idintegerpk类别 id fathercategoryid integernot null父类别 id name varchar 128 not null类别名 description varchar 512 类别说明 商品表 商品表 product 字段名称类 型约 束描 述 product idintegerauto increment pk商品 id name varchar 50 not null商品名 basePricenumeric 12 2 not null价格 category idinteger 类别 id imagesvarchar 128 图片 descriptionvarchar 512 商品描述 用户表 用户表 users 字段名称类 型约 束描 述 usernamevarchar 50 pk用户名 password varchar 50 not null 密码 emailvarchar 50 not null邮箱 mobtelephonevarchar 50 电话 stateintegernot null用户状态 0 已验证 1 未验证 confirmcodevarchar 50 not null验证码 订单状态表 订单状态表 orderstatus 字段名称类 型约 束描 述 orderstatus idintegerpk状态 idid namevarchar 50 not null状态名称 descriptionvarchar 50 状态描述 付款方式表 付款方式表 payway 字段名称类 型约 束描 述 payway idintegerpk付款方式 idid paystylevarchar 64 not null付款类型 订单表 订单表 orders 字段名称类 型约 束描 述 orders idintegerauto increment pk订单 id username varchar 20 not null用户名称 payway idinteger l付款方式 id orderstatus idinteger 订单状态 id namevarchar 20 订单名称 costnumeric 15 3 not null订单金额 订单项表 订单项表 orderline 字段名称类 型约 束描 述 orderline idintegerauto increment pk订单项 id orders id integernot null订单 id product idintegernot null商品 id amountnumeric 20 2 not null商品数量 5 图形用户界面设计图形用户界面设计 5 15 1 交易系统界面设计交易系统界面设计 5 1 15 1 1 显示首页面显示首页面 功能概述功能概述 交易系统门户 首页面 交易功能入口界面 组件定义组件定义 index jsp product productIndex jsp View ProductMappingDispatchAction对应 index 方法Action Service Dao 5 1 25 1 2 分类检索分类检索 功能概述功能概述 通过系统首页面进入 进行商品按类别分类减速 组件定义组件定义 index jsp product productIndex jsp product productSearch jsp View ProductMappingDispatchActionsearchProduct 方法Action ProductBusinessImpl商品管理业务处理Service CategoryBusinessImpl商品类别管理业务处理 ProductDAOImpl商品管理数据数据层操作Dao CategoryBusinessImpl商品类别数据数据层操作 5 1 35 1 3 显示商品明细显示商品明细 功能概述功能概述 通过系统首页面 分类检索页面进入 查看商品详细信息 组件定义组件定义 product productIndex jsp View product productSearch jsp product productDetail jsp ProductMappingDispatchActionAction ProductBusinessImpl商品管理业务处理Service ProductDAOImpl商品管理数据数据层操作Dao 5 1 45 1 4 订单列表订单列表 功能概述功能概述 登陆用户 通过任意页面 我的订单 进入 默认显示当前交易用户的订单列 表 组件定义组件定义 product productIndex jsp inc header jsp View product productDetail jsp ProductMappingDispatchActionAction ProductBusinessImpl商品管理业务处理Service ProductDAOImpl商品管理数据数据层操作Dao 5 1 55 1 5 删除订单删除订单 功能概述功能概述 登陆用户 在 订单列表 页面删除指定的一个订单 组件定义组件定义 order myorders jsp View ProductMappingDispatchActiondeleteOrder 方法Action ServiceProductBusiness订单管理业务类 ProductDAOImpl订单管理数据持久层操作Dao 5 1 55 1 5 添加商品到购物车添加商品到购物车 功能概述功能概述 登陆用户 从商品明细画面 添加一个商品到购物车 组件定义组件定义 product productDetail jsp shopcart shoppingcart jsp View ShopCartMappingDispatchActionadd2Cart 方法 数据保存 在 Session 中 Action Service Dao 5 1 65 1 6 在购物车中删除一个订单列表在购物车中删除一个订单列表 功能概述功能概述 登陆用户 在购物车页面临时取消一个已经选购的商品 组件定义组件定义 shopcart shoppingcart jsp View ShopCartMappingDispatchActionremoveById 方法Action Service Dao 5 1 75 1 7 修改订单列表中商品数量修改订单列表中商品数量 功能概述功能概述 登陆用户 修改购物清单中 选购商品数量 组件定义组件定义 shopcart shoppingcart jsp View ShopCartMappingDispatchActionmodifyNumber 方法Action ShoppingCart购物车Service Dao 5 1 85 1 8 购物车结算购物车结算 功能概述功能概述 登陆用户 商品选购完成 结算购物车中商品 进入订单确认页面 组件定义组件定义 shopcart shoppingcart jsp shopcart checkout jsp View ShopCartMappingDispatchActionAccount 方法Action ShoppingCart购物车管理类Service Dao 5 1 85 1 8 订单确认订单确认 功能概述功能概述 登陆用户 订单确认页面 可以修改收获信息 组件定义组件定义 shopcart checkout jsp order myorders jsp View ShopCartMappingDispatchActioncheckOut 方法Action OrderBusinessImpl订单管理实现类Service ShoppingCart购物车管理类 OrdersDAOImpl提供订单相关数据库操作Dao 5 1 95 1 9 清空购物车清空购物车 功能概述功能概述 登陆用户 清空购物车中选购的所有商品 组件定义组件定义 shopcart shoppingcart jsp product productIndex jsp View ShopCartMappingDispatchActionclearShopCart 方法Action Service ShoppingCart购物车管理类 Dao 5 1 105 1 10 用户登入用户登入 功能概述功能概述 注册用户登陆 组件定义组件定义 product productIndex jsp user signin jsp View UserCartMappingDispatchActionLogin 方法Action UserUtilcheckUser 用户登陆工具类Service Dao 5 1 115 1 11 用户登出用户登出 功能概述功能概述 已经登入用户登出系统 组件定义组件定义 product productIndex jsp inc header jsp View UserCartMappingDispatchActionLogout 方法Action UserUtilcheckUser 用户登陆工具类Service Dao 5 1 125 1 12 用户注册用户注册 功能概述功能概述 未注册用户 注册成为系统交易用户 组件定义组件定义 product productIndex jsp inc header jsp View user register jsp user registed jsp UserCartMappingDispatchActiontoRegister 方法Action UserCartMappingDispatchActionRegister 方法 UserCartMappingDispatchActionusernameValidate 方法验证 用户是否存在 UserBusinessImpl用户管理实现类Service UserDAOImpl用户管理的数据操作Dao 5 1 135 1 13 编辑个人基本信息编辑个人基本信息 功能概述功能概述 登陆用户 修改个人基本信息 组件定义组件定义 user myarchives jsp View UserCartMappingDispatchActionModify 方法Action UserBusinessImpl用户管理实现类Service UserDAOImpl用户管理的数据操作Dao 5 1 145 1 14 修改密码修改密码 功能概述功能概述 登陆用户 修改个人登陆密码 组件定义组件定义 user passwordchange jsp View UserMappingDispatchActionchangePwd 方法Action UserBusinessImpl用户管理实现类Service Dao 5 25 2 管理系统界面设计管理系统界面设计 5 2 15 2 1 商品列表商品列表 功能概述功能概述 商人登入后 进入商品列表 删除和修改商品 组件定义组件定义 product productList jsp View ProductMappingDispatchActionlistAllProduct 方法Action ProductBusinessImpl商品管理类Service ProductDAOImpl商品管理的数据操作Dao 5 2 25 2 2 添加商品添加商品 功能概述功能概述 商人登入后 添加发布商品 组件定义组件定义 product addProduct jsp View ProductMappingDispatchActionaddProduct 方法Action ProductBusinessImpl商品管理类Service CategoryBusinessImpl商品类别管理类 ProductDAOImpl商品管理的数据操作Dao CategoryDAOImpl商品类别管理的数据操作 5 2 35 2 3 修改商品修改商品 功能概述功能概述 商人登入后 修改商品信息 组件定义组件定义 product productList jsp product productModify jsp View ProductMappingDispatchActiontoModifyProduct 方法Action ProductMappingDispatchActionmodifyProduct 方法 ProductBusinessImpl商品管理实现类Service ProductDAOImpl商品管理的 DAO 操作Dao 5 2 45 2 4 删除商品删除商品 功能概述功能概述 商人登入后 删除指定商品 组件定义组件定义 product productList jsp View ProductMappingDispatchActiondeleteProductById 方法Action ServiceProductBusinessImpl商品管理实现类 ProductDAOImpl商品管理的 DAO 操作Dao 5 2 55 2 5 管理员登入管理员登入 功能概述功能概述 管理用户 登入功能 组件定义组件定义 manager jsp user userList jsp View UserMappingDispatchActionManager 方法Action Service Dao 5 2 55 2 5 管理员登出管理员登出 功能概述功能概述 管理员登出 组件定义组件定义 manager jsp View UserMappingDispatchActionlogout 方法Action Service Dao 5 2 65 2 6 用户列表用户列表 功能概述功能概述 管理员用户登入后 显示用户列表功能 组件定义组件定义 manager jsp user userList jsp View UserMappingDispatchActionlistAllUser 方法Action UserBusinessImpl用户管理业务实现类Service UserDAOImpl用户管理数据操作类Dao 5 2 75 2 7 删除用户删除用户 功能概述功能概述 管理员用户登入后 删除列表中用户 组件定义组件定义 user userList jsp View UserMappingDispatchActionDelete 方法Action UserBusinessImpl用户管理业务实现类Service UserDAOImpl用户管理数据操作类Dao 6 数据结构设计数据结构设计 6 16 1 用户层设计用户层设计 用户层是提供给用户操作的界面 用户可填写数据 发出请求以及查看需要的 信息等 如果获取数据时不对数据库进行数据更新 用户层可以不经过业务层而直 接访问数据层获取数据 如果需要对数据库进行更新 可以通过业务层来实现 6 26 2 控制层设计控制层设计 控制器接受用户的输入并调用模型和视图去完成用户的需求 所以当单击 Web 页面中的超链接和发送 HTML 表单时 控制器本身不输出任何东西和做任何 处理 它只是接收请求并决定调用哪个模型构件去处理请求 然后再确定用哪个视 图来显示返回的数据 6 2 1 控制层的类图控制层的类图 6 2 2 类图描述类图描述 OrderMappingDispatchAction 订单管理核心控制类订单管理核心控制类 方法名功能描述参数和返回值异常定义 deleteOrder 删除用户订单 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception listUserOrders 显示用户订单列 表 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception orderDetaill 显示订单明细 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception ProductMappingDispatchAction 商品管理核心控制类商品管理核心控制类 方法名功能描述参数和返回值异常定义 addProduct 添加发布商品 管理员 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception index 显示我的GWAP 首页面 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception showDetail 显示订单明细 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception searchProduct 按照类别检索商 品 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception listAllProduct 得到所有的商品 参数 ActionMapping ActionForm Exception HttpServletRequest HttpServletResponse 返回值 ActionForward deleteProductById 删除和下架商品 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception toModifyProduct 打起修改商品信 息页面 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward modifyProduct 修改商品信息 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward ShopCartMappingDispatchAction 购物车管理核心控制类购物车管理核心控制类 方法名功能描述参数和返回值异常定义 account 统计商品 进入 订单确认页面 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception showShopCart 打起购物车 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception add2Cart 添加商品到购物 车 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception viewShopCart 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception 参数 ActionMapping removeById 根据商品ID 从 购物车中移出商 品 ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception undoById 恢复移出商品到 购物车 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception clearShopCart 清空购物车 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception modifyNumber 修改商品数量 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception checkOut 订单检查和入库 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception UserMappingDispatchAction 用户管理核心控制类用户管理核心控制类 方法名功能描述参数和返回值异常定义 toLogin 调转到登陆画面 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception toRegister 打起用户注册页 面 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception register 用户注册 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception login 用户登录 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception manager 管理员用户登录 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception listAllUser 查找所有用户得 到 用户列表 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception query 查询用户 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception modifyr 编辑个人信息 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception changePwd 修改个人密码 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception logout用户退出参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception usernameValidateAJAX 检查用户 名是否存在 用 户注册时 参数 ActionMapping ActionForm HttpServletRequest HttpServletResponse 返回值 ActionForward Exception 6 36 3 业务层设计业务层设计 6 3 1 业务层类图业务层类图 6 3 2 类图描述类图描述 CategoryDAOImpl 提供产品分类相关数据库操作提供产品分类相关数据库操作 方法名功能描述参数和返回值异常定义 delete 根据持久化Pojo 删除数据库中相 应数据 参数 Category 返回 void GWAPException findAllCategory 取得全部的商品 分类 参数 返回 List 全部的产 品分类的 List GWAPException findByDescription 参数 Object 返回 List GWAPException findByExample根据范例Pojo 取 得数据库中的相 应数据 参数 Category 返回 List Pojo 的 List GWAPException findById根据Pojo 的主键 取得数据库中的 相 应数据 参数 Long 返回 Category GWAPException findByName参数 Object 返回 List GWAPException findByProperty根据Pojo 的属性 名和Pojo 属性的 值在数据库中取 得相应 数据 参数 String Object 返回 List Pojo 的 List GWAPException getChildCategoryBYFatcherID取得子的 Category 对 象集合 根据当 前 category id 参数 Long 返回 List GWAPException getFatcherCategoryBYChildID取得父亲 Category 对 象 根据当前 category id 参数 Long 返回 Category GWAPException lock把游离的Pojo 再参数 GWAPException 次变 成持久化的Pojo Category 返回 void save把尚未持久化的 Pojo 登录至数据 库 参数 Category 返回 GWAPException 6 46 4 数据层设计数据层设计 数据层从业务层接收请求 利用存储过程或其他方法从数据层获取数据传回业 务层或向数据库写入数据 该层的实现代码全部封装到数据操作类中 大部分对数 据库的操作都由它来完成 数据层的类图已在数据库的设计中给出 并解释了类的定义等 7 系统性能分析系统性能分析 7 17 1 数据精确度数据精确度 1 要按照严格的数据格式输入 否则系统不予响应进行处理 2 查询时要保证查全率 所有相应域包含查询关键字的记录都应能查到 因为 通常有文件的记录会很多 所以本系统采用了两种方法进行查询 直接查询 和模糊查询 3 数据的输出严格按照规定的格式显示 7 27 2 时间特性时间特性 一般操作的响应时间应在 120 毫秒内 7 37 3 适应性适应性 满足网络业务平台的需求 记录量控制在 109项内 对前面提到的运行环境要求不应存在困难 7 47 4 系统可靠性系统可靠性 可靠性是系统为了避免来自系统内部的差错 故障而采取的保护措施 从系统 可靠性角度出发 本系统和数据库采用了双备份的方式 即在系统正常运行时定期 保留数据后备份副本 转储到存储介质上保存 并在转储后对系统的信息处理过程 建立记录 记下每步数据操作的内容 一旦发生事故 在恢复的系统上起用后备数 据 并根据信息处理过程记录 将数据恢复到故障发生前的状态 7 57 5 系统安全性系统安全性 1 IIS 安全设置 关闭并删除默认站点 系统所在位置与系统不在同一个分区 删除不必要的 IIS 映射和扩展 把一切 ASP 错误 服务器返回的信息设置为 http500 错误 设置 好网站的 Web 权限 一般情况下不给那些静态网站以 脚本和可执行 权限 动 态网站只要给个 纯脚本 权限就够了 对于那些上传文件的存放目录 执行权限 设为 无 2 为了防止非法用户将有可能运行上传的脚本 木马等 进而控制站点 甚 至整个服务器 上传目录应设置不给脚本执行权限 对上传的数据的文件类型也需 要进行限制 3 防止权限验证程序被绕过 对于需要通过身份验证后才能被访问的页面 可以绕过身份验证 直接进入到该 页面 这样做为用户区分与权限分配的验证程序就失去了原有的作用 为防范此漏 洞 可以通过对需要通过身份验证的页面添加对存储在 cookies 或 session 对象中的 再次验证来实现安全控制 当访问者通过身份验证页面后 就把 Cookies 信息或对 象的属性存储起来 当访问者试图登录到有效链接页面时 将当前身份信息与存储的 验证信息行比较 如果不匹配 则拒绝访问 4 防范 SQL 注入攻击 Web 系统经常要以用户输入或者传递的参数来构造 SQL 语句 并让后台的数 据库执行 SQL 注入是系统通过输入的内容构造出来的 SQL 语句 在执行时改变 了查询条件或者附带执行了攻击者注入的整个 SQL 语句 从而让攻击者达到了非 法的目的 7 67 6 系统