ASP精解案例教程 第11章 网站建立与常用模块分析

第11章网站建立与常用模块分析11内容提要本章主要介绍个人和企业建立网站的过程。介绍域名的根本概念，什么是域名，如何注册域名以及注册域名的必要性。介绍虚拟主机的根本概念,虚拟主机能提供的效劳以及使用虚拟主机的本卷须知。介绍一些网站应用案例分析，比方带回复功能的留言簿、新闻信息发布系统、在线考试系统和论坛系统，这些都是目前应用很广的系统。域名系统的根本概念什么是域名

域名类似于互联网上的门牌号码，是用于识别和定位互联网上计算机的层次结构式字符标识，与该计算机的互联网协议〔IP〕地址相对应。但相对于IP地址而言，更便于使用者理解和记忆。域名属于互联网上的根底效劳，基于域名可以提供WWW、EMAIL、FTP等应用效劳。比方：“IBM〞、“Microsoft〞和“〞等等都是比较常见域名。其中“〞只是该域名提供的www〔WorldWideWeb〕效劳。域名的层次结构

后缀说明举例.COM商业性的机构或公司.ORG非盈利的组织、团体.GOV政府部门.MIL军事部门.NET网络服务的机构或公司.BIZ取意为business.INFO一般的信息服务使用国内某域名提供商的价格

分类注册的价格说明.com/.net/.org国际域名59元（个/年）任何机构和个人都可以注册。.cn/././.国内域名95元/（个/年）只有企业才可以注册，个人不可以注册。.biz英文域名140元（个/年）任何机构和个人都可以注册。.info英文域名160元/（个/年）任何机构和个人都可以注册。注册域名的必要性

域名如同商标，是因特网上的标志之一。Internet上的域名是非常有限的，因为每个域名都只有一个。如果公司的名字是IntellectualBusinessManagementLtd.，想把公司的域名注册成IBM.COM，可是这个域名早已被国际商用机器公司抢注了！在美国，连街头上的小百货店和小加油站都在注册他们的域名，以便在网上宣传自己的产品和效劳。作为有头脑、有远见的商人，越早行动，越有可能获得您所需要的域名。虚拟主机的根本概念虚拟主机和主机托管是目前常用的两种网站接入的方式虚拟主机一般提供两种操作系统：Windows2000/2003和Linux操作系统。用户可根据需要选择不同类型的虚拟主机什么是虚拟主机

提供的效劳虚拟主机除了提供网站空间以外，还提供的常用功能有：网站计数器、留言版、调查反响表、访问统计系统、数据备份、独立CGI-BIN目录、PHP支持、ASP和ASP.NET支持、JSP支持、ACCESS数据库支持、MySQL或者SQLServer数据库支持和提供访问日志，等等。虚拟主机根据提供的效劳不同可以分成四类：普通企业级、论坛级、电商级和门户级别。虚拟主机本卷须知查找域名

目前可以提供注册域名的效劳商很多，而且注册的价格也不一样，比方.COM域名，最廉价的50元，最贵的120元。要找到这些域名效劳商，可以利用Google或者Baidu搜索引擎。比方在“〞查找字符串“注册域名〞，如图11-1所示。注册域名

如果查到某个域名还没有被注册，就可以通过效劳商注册该域名。通常情况下，用户需要填写一张注册表，然后交纳所需要的费用。注册完毕后，用户可以要求效劳商将该域名指向某个IP地址或者某个URL地址，同时也可以设置一些二级域名选择虚拟主机的类型

相比域名来讲，各个效劳商提供的虚拟主机的价格差的更大。但是价格因素将决定效劳以及网站访问的速度。各个效劳商提供的虚拟主机一般有两种类型：Windows系列和Linux系列注册虚拟主机

为了使用和维护方便，以及以后续费方便，域名和虚拟主机一般注册在同一家效劳商。有时候，有些效劳商使用域名和虚拟主机捆绑销售的方式来促销。还有些效劳商，为了能让用户使用放心，还推出免费试用7天的业务。比方：“〞和“〞，等等。〔目前有试用业务，可能以后会取消〕上传页面

用户可以将自己的做好的页面，通过FTP上传到虚拟主机中。效劳商不同，虚拟主机的根目录也不同，可以根据说明进行上传。可以使用专门的FTP工具上传，比方：CuteFtp或者LeapFtp等等，也可以通过通过浏览器直接上传，在浏览器直接输入地址，然后输入用户名和密码。那么出现虚拟主机根目录文件列表带回复功能的留言簿

前面的章节介绍了基于文件的留言簿、基于数据库的分页留言簿。目前通常留言簿都带有管理员回复的功能。本案例包括4个程序：l

lyb.asp：分页显示和信息录入功能。l

lyb/handle.asp：得到留言信息，并将内容存储到数据中。l

lyb/dohuifu.asp：处理回复信息，并将内容存储到数据库中。l

lyb/lyb.mdb：保存信息的Access数据库。新闻信息发布系统

信息发布系统是网站应用中常用的系统。除了应用在各种新闻网站，网站中许多消息通知和消息发布系统，也可以利用信息发布系统实现。程序共包含5个主要文件：l

default.asp：首页，信息显示页面。l

newswind.asp：显示信息详细内容页面。l

newsadd.asp：信息添加的页面。l

newsedit.asp：信息修改的页面。l

news.mdb：存储信息的Access数据库文件。在线考试系统

考试系统的主要功能是实现在线考试和客观题的自动评分。考试系统由四个文件组成，功能如下。l

TEST.MDB：考试系统的数据库文件〔Access2000/XP格式〕。l

Login.asp：考试系统的登录界面。l

Test.asp：考试系统的考试界面。l

Score.asp：考试系统的评分界面。论坛系统随着论坛系统的逐步成熟，使用ASP编写的论坛，根据规模的大小，可以分成3大类。〔1〕小型的论坛系统。〔2〕BBS系统。〔3〕社区系统。常见ASP平安漏洞及处理ASP提供强大功能的背后，还存在一些平安方面的漏洞和缺乏，了解ASP中存在的平安隐患在一定程度上有助于提高对平安问题的重视。Access数据库下载漏洞ASP结合后台access数据库开发应用系统在一些中小型网站中得到了广泛采用。这种方式的主要平安隐患是，一旦访问者知道Access数据库的路径和文件名，整个数据库就存在被完全下载的可能。假设使用者知道该数据库文件存放路径和文件名，可直接在浏览器的地址栏中输入该路径以及文件名，如图11-5所示。Access数据库下载漏洞Access数据库下载漏洞比较流行的做法就是将数据库文件扩展名改为.asp脚本漏洞<fontcolor=redsize=7>版主你好！</font><ahref="://123.net"onMouseover="while(1)i=i+1">请看附件</a> 处理该漏洞的一种方法<Scriptlanguage=VBScript>SubGBook_OnClick()DimcontentContent=)IfInstr("<script",content)then Alert("留言中不能使用脚本") ExitSubEndIfGBook.SubmitEndSub</Script>Server对象的HTMLEncode方法<% content=Server.HTMLEncode("content")Response.write(content)%>SQL植入漏洞<%Dimrs,sql,username,userpassusername=trim(session("u_name"))userpass=trim(session("u_pass"))ifusername<>""thensql="select*fromsystemwhere[user]='"&username&_"'andpassword='"&userpass&"'"setrs=cnn.Execute(sql)ifrs.EOFthenresponse.redirect"login.asp"Endifelseresponse.redirect"login.asp"Endif%>SQL植入漏洞利用单引号将查询值括起来，这样的SQL语句就容易被利用。攻击者可以构造这样的密码：abc'or'1'='1，而嵌入在SQL语句中就变成这样了：select*fromsystemwhere[user]='"&username&"'andpassword='abc'or'1'='1防止该漏洞通过修改单引号的使用可以防止该漏洞。解决该漏洞的方法是修改单引号的使用，把SQL语句中可能存在的单引号转换成双单引号连用的形式，这样就防止了因单引号前后匹配造成的攻击者绕过用户名和密码验证的漏洞。主要代码如下：<% username="'"&replace(username,"'","''")sql="select*fromuserwhereusername="&username%>无组件上传系统

前面已经介绍了使用组件实现文件上传，还可以无组件实现上传目前网上流行2种无组件上传：1、使用FSO对象实现无组件上穿；2、使用ADO对象的Stream对象实现上传。使用第1种方法实现需要大量的代码，第2种方法实现起来比较方便，而且代码也非常少。IP地址查询系统

目前网上有很多应用可以直接显示用户上网所在地，比方有些论坛系统，可以显示用户目前在什么地方，QQ也有带地址显示的版本。这种查询其实是把所有的IP地址都存储到数据库中，然后查询IP地址所在的地址段，从而得到所在地。转换程序如look.asp所示.小结本章所有内容最好能亲自到网站上实践。因为许多的效劳商都提供虚拟主机的试用效劳，这些试用的虚拟主机还绑定一些3级域名。比方：“〞和“〞等效劳商。重点理解六个网站应用案例的数据库设计和程序设计。由于书上的程序多是节选，所以需要完全阅读相应的程序代码，然后进一步理解程序的每条代码。这六个程序在主体上都实现了功能，但是如果作为实际的网站应用，还需要增加用户管理和信息检查等功能，读者可以根据自己的需要增加功能。本章习题一、选择题1.下面哪个域名是国际顶级域名___________。A)B)C)D)gettop2.关于域名的说法，正确的选项是___________。A)所有人都可以任意注册各种域名。B)域名最长不能超过63个字符，且“-〞〔减号〕不能出现在字符串的最前或最后。C)注册域名，所有效劳商的价格一样。D)中国人只能注册国内域名。3.张三要在河北开一个网上书店，大概同时在线用户可能到达50人，张三应该选择哪种类型的虚拟主机？___________A)企业普通型B)网站论坛型C)电商型D)门户型4.哪个不是虚拟主机支持的效劳___________A)网站计数器B)提供Web空间C)网站定期备份D)网站页面程序二、填空题1.其中“〞只是该域名提供的___________效劳。2.虚拟主机一般提供两种操作系统：___________和___________操作系统。3.虚拟主机根据提供的效劳不同可以分成四类：普通企业级、___________、电商级和___________。4.语句“();")〞的功能是___________。“opener〞是系统关键字，表示翻开当前窗体的父窗体，refreshFrm是___________，submit()是控制表单提交。5.函数DateDiff〔〞d〞，x,y〕的功能是___________。6.Request.QueryString功能是___________。三、简答题与程序设计题1、在有条件的情况下，注册一个国际域名。2、到一个可以申请试用虚拟主机的站点，申请一个虚拟主机，然后做介绍自己的网站。要求包括：计数器、网站留言簿和简单论坛。3.在SQLServer中编写SQL脚本创立如表11