时间:2022-08-24 15:36:40
引言:寻求写作上的突破?我们特意为您精选了4篇网站设计论文范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
企业类网站通常就是指应用网络在信息传播领域的特征,以互联网作为重要的手段和载体进行网站的建设,以达到为企业扩大社会影响力的目的,让更多浏览者通过网页对企业更加详细和深入的了解,从而也帮助企业建立一个更有利于自身发展的社会形象,同时也为目标客户提供一定的服务。当前,按照企业的行业特点以及企业建立网站原始目的的差异可以将企业的网站分成三个大类,第一类是基本信息类,第二是电子商务类,第三是多媒体广告类。
1.2版式设计的定义
版式设计通常就是指将网站版面上的图片、文字以及色彩进行合理的安排和规划,同时还要将这些元素通过一定的方式和手段凸显出来,从而能够实现更加艺术化的视觉效果,在提供给浏览者企业的一些关键信息的同时也可以充分的满足人们对审美的需要,版式设计的内容包括很多项画册、刊物、唱片封套和网页整体的页面等等,所以网站的版式设计在实际的工作中是表达视觉效果的一个十分关键的途径,它也是现代艺术设计领域一个重要的环节。
1.3网站版式设计网站的版式设计通常就是指在一定的空间内将视觉和听觉的内容进行合理的整合和编排,它和平面媒体的设计有比较多的相似之处,二者实际上都是将一些非常基本的要素进行整体化合理化的布局,同时还要根据主题和风格的需要对整个版面进行设计,一个成功的网站在给浏览者提供全面的信息的同时也可以很好的给浏览者以美的享受,这样一来,网站整体的价值再一次的得到了提升。
2.企业类网站版式的设计
2.1企业类网站版式的尺寸
企业类网版式在具体的尺寸方面和平面媒体的板面设计存在着比较大的差异的,后者的尺寸是比较固定的,但是网页版式的设计是不固定的,它也是相对性比较强的一个要素,因为浏览者和使用者在视觉习惯上都有着一定的不确定性,这样也就使得设计师在进行版式设计你的过程中无法对每一个元素的尺寸和位置进行有效的掌控,网站结构本身也和报纸杂志等平面载体有着非常大的差异,所以在网站版式设计的过程中难度也更大,在设计之前首先应该对网站空间和具体的页面尺寸进行了解,之后才能对其进行更加科学和合理的布局。科学技术的发展水平有了很大的提升,同时显示器屏幕的尺寸也有了很大的变化,由以前的15寸变成了现在的24寸,因为在网站运行的过程中浏览器的工具条实际上也要占用一些空间,所以网站的页面会因为屏幕尺寸的不同而展现出不同的视觉效果。按照当前很多人显示器中分辨率的常规设置,很多网站版面尺寸都是按照1024×768的像素进行设计的,这样就可以保证浏览者在浏览的过程中可以更舒服的进行信息的读取。为了能够更好的对浏览器水平方向的滚动条所占的尺寸进行考量,同时还要使得网站版式可以显示出更好的视觉效果,在网站版式设计的过程中应该将网站的安全宽度控制在合理的范围之内,这一数值通常都是1002像素,这样才能更好的保网站在水平方向上能够完全处在屏幕的范围之内,网站的页面长度实际上是可以无限延长的,它的实际长度和网站设置的具体内容有着非常密切的关联,但是为了保证整个网站的下载速度都能在一个比较合理的范围内,其长度应该控制在1到3屏之间。
2.2企业类网站版式的常用结构类
型企业类网站版式的常用结构有“国”字型、左右框架型、上下框架型、封面型、Flash型等。国字型又称为“同”字型,是网上见到最多的一种结构类型,也是一些大型企业网站所喜欢的类型。即最上面是网站的logo、标题以及横幅广告条,接下来是网站的主要内容,分为左、中、右三个部分,中间是主要部分,与左右一起罗列到底,最下面是一些企业的基本信息,联系方式和版权声明等。左右框架型,是由左右两个部分构成的网站整体布局,通常左边为导航的链接,右面是正文。通常企业类网站喜欢采用这种类型的结构,因为它使网站的内容一目了然,非常清晰,可以迅速吸引浏览者的眼球,快捷地捕捉到网站的信息。上下框架型类似于左右框架型,不同的是分为上下两个部分。封面型一般出现在网站的首页,多以精美的平面结合动画设计制作而成,设计一个“进入”按钮和一些简单的链接来完成页面的跳转,如果处理得好会给人赏心悦目的感觉。Flash型等同于封面型,与封面型不同的是它采用具有强大功能的FLASH软件制作而成,使得页面的信息内容更加丰富多彩,最显著的就是交互性和多媒体的运用。
2.3企业类型网站版式的构成要素企业类型
网站版式的构成要素有很多,logo、导航条、色彩、文字、Banner、快速通道等等很多的内容。首先logo是一个企业的主要标志,它是一个企业内在含义和企业文化的一种最为集中的体现。在使用的过程中它也是和其他网站建立链接的一个最为重要的内容,所以在网站版式设计的过程中它也是首先应该考虑的一个要素。其次是导航条,它能够为用户浏览网页提供重要的指引,同时它也是连接不同页面的一个重要的纽带和桥梁,浏览者通过鼠标对导航条进行点击就可以进入到相应的页面,了解不同的信息,这一要素设计的合理性直接影响到了网站设计和使用的整体效果。再次是色彩,企业网站版式的色彩实际上包含很多方面的内容,色彩的选择和搭配实际上是合格企业自身的经营项目和自身的性质有着非常密切的联系的,应用不同的色彩能够很好的体现出企业自身的文化和内涵,但是需要注意的是色彩的种类不要过多,同时色彩的饱和度也不要太高,这样才不会让网站的浏览者产生眼花缭乱的感觉。第四就是文字上的选择网站导航当中字体的可读性会对企业网站的点击量产生非常重大的影响,所以在进行文字设计的过程中一定要注重文字的美感,要使用多种字体去提高阅读的趣味性。
2.构建三种设计技术的运行环境
2.1构建ASP的运行环境:NT5.0Server,IIS5.0,ASP3.0。安装Windows2000Server(NT5.0Server)时选择IIS5.0有关选项。安装完后ASP3.0便内嵌于IIS5.0中。测试ASP:启动浏览器,在地址栏处输127.0.0.1:80/default.asp,若浏览到IIS服务器的ASP欢迎页面,说明安装成功
2.2构建PHP4的运行环境:NT5.0Server,Apache1.3.12php4.0安装支持PHP的web服务器Apache1.3.12,将Apache服务器压缩文件解压缩,根据提示进行整个安装过程,自己选择安装到目录d:\apache下。安装PHP4,将PHP4压缩文件解压缩到d:\php4即可,同时将其中的php.ini-dist文件拷贝到winnt目录中,将文件更名为php.ini,打开该文件将其中extension_dir设置为:d:/php4,并加载扩展模块:将文件中含有;extention=*.dll的各项前面的";"号去掉即可;修改设置Aphache服务器,用文本编辑器编辑目录d:\aphache目录下的子目录conf下名为httpd.conf的文本文件,首先将"#ServerName*"这一行下加入"ServerName127.0.0.1/";,其次将"Port80"改为"Port81(或其他与IIS5.0不冲突的端口)",再其次设置更改Apache虚拟目录,将"Documentroot"d:/Apache/htdocs""改为Documentroot"d:/trade"(该目录即是电子商务网站目录,可用任意方法建立目录trade),最后加入支持php4的如下语句:ScriptAlias/php4/"d:/php4/"AddTypeapplication/x-httpd-php.phpAddTypeapplication/x-httpd-php.phtmlActionapplication/x-httpd-php4"/php4/php.exe";测试php:完成上述步骤后,在d:\trade目录下,用如何文本编辑器,生成扩展名为.php(或phtml)的文件test.php,在文件中输入如下php代码,存盘后,启动Apache,接着你在浏览器中输入127.0.0.1:81/test.php,若看到php的版本和扩展模块等信息,说明环境安装设置成功。
2.3构建JSP的运行环境:NT5.0Server,Resin1.13,jdk1.3安装Java编译器jdk1.3:运行jdk1_3-win.exe,按照提示完成安装即可,将其安装在d:\java1.3目录,也可安装在其他目录。设置系统环境参数:控制面板/系统/环境页中选择path参数加入d:\jdk1.3\bin;增加新的环境参数classpath=d:\jdk1.3\lib\tools.jar;d:\jdk1.3\lib\dt.jar;,然后重新启动计算机即可安装支持JSP的web服务器Resin1.1.3,将RESIN-1.1.3.zip释放为d:\Resin1.1.3即可。配置服务器端口,打开d:/resin1.1.3/conf/目录下的resin.conf文件在
8080
标签处将端口设置为82(在我的NT5.0上装有三个服务器,这样三个服务器的端口分别为IIS:80;Apache:81;Resin:82其实也可设置为其他互不冲突的端口号).测试JSP:启动Resin服务器,启动浏览器,在地址栏处输127.0.0.1:82/,若浏览到Resin服务器的JSP欢迎页面,说明安装成功
3生成三种格式的动态表单页面为了通用,这里采用可能用到的表单对象为例,至于下面设计具体数据表用到的字段,只要转成给出的表单域相应对象即可.
3.1用ASP动态生成与数据库进行数据交流的操作表单:form.asp:生成表单域头:生成普通文本:生成密码文本:生成滚动文本:生成单选:生成复选:生成列表框:生成提交按钮生成重填按钮生成表单域尾
3.2用PHP动态生成与数据库进行数据交流的操作表单:form.php生成表单域头:"?>生成普通文本:"?>生成密码文本:"?>生成滚动文本:"?>生成单选:"?>生成复选:"?>生成列表框:网络数据库Asp技术Php技术Jsp技术网站设计"?>生成提交按钮"?>生成重填按钮"?>生成表单域尾"?>
3.3用JSP动态生成与数据库进行数据交流的操作表单form.jsp生成表单域头:生成普通文本:生成密码文本:生成滚动文本:生成单选:生成复选:生成列表框:生成提交按钮生成重填按钮生成表单域尾
4设计用于存储商务网站交互数据的MySql数据库
4.1启动MySql数据库服务器(MySql的安装及ODBC驱动程序的安装与设置请参阅相关书籍)可在NT5.0下用启动服务法/NET命令法/命令窗口键入MySqld-shareware法,启动MySql数据库服务器,启动数据库服务器后,在d:\mysql\bin>提示符下键入mysql-h127.0.0.1-uroot即可出现mysql>提示符,从这开始即可进行对MySql数据库的各种操作。若要退出可键入quit/exit,若要关闭数据库服务器,可在d:\mysql\bin>提示符下键mysqladmin-urootshutdown4.2建立MySql数据库在MySql数据库的提示符mysql>键入Createdatabasetradedb;(或go)
4.2.建立MySql数据库表这里以商务网站中常用的几种数据表为例,主要用到的数据表和生成数据表的SQL代码如下:(这里的数据表字段只要分别对应上述表单域对象即可实际操作,数据表统一用tablename表示)客户登录管理数据表CREATETABLEusers(IDintnotnullauto_increment,UserNamevarchar(30)notnull,Passwordvarchar(20)notnull)客户信息数据表CREATETABLEusermessage(UserNamevarchar(30)notnull,Emailvarchar(80)notnull,Addressvarchar(120)notnull,Faxvarchar(40)null,Phonevarchar(40)notnull,Cerreycardvarchar(50)notnull)客户定购商品数据表CREATETABLEcatalog(ProductIdintnotnull,Namevarchar(64)notnull,Pricefloat(6,2)notnull,Description;textnull)
5设计处理表单数据的3p程序
5.1设计处理表单数据的ASP程序form_cl.asp建立与数据库的连接:这里采用直接驱动法Setconn=Server.CreateObject("ADODB.Connection");conn.open"driver={MySQL};server=localhost;uid=user;pwd=xxxxxx;database=tradedb"获取表单提交的数据:data1=request("ptwbk");data2=request("mmwbk");data3=request("gdwbk")data4=request("dxk");data5=request("fxk");data6=request("lbk")用SQL语句对数据库进行操作查询数据记录:sql="select*fromtablename";setrs=conn.execute(sql)"增加数据记录:sql="insertintotablename(ptwbk,mmwbk,gdwbk,dxk,fxk,lbk)values(''''data1'''',''''data2'''',''''data3'''',''''data4'''',''''data5'''',''''data5'''')";setrs=conn.execute(sql)更改某条数据记录:sql="updatetablenamesetdata1="request(ptwbk)",whereID="num";setrs=conn.execute(sql)删除某条数据记录:sql="deletefromtablenamewhereID="num";setrs=conn.execute(sql)将SQL语句处理的数据结果输出Response.Write"
"Response.Write""Fori=0tors.Fields.Count-1Response.WRITE""&rs.Fields(i).Name&""NextResponse.Write"
"WhileNotrs.EOFResponse.Write""Fori=0tors.Fields.Count-1Response.WRITE""&rs.Fields(i).Value&""NextResponse.Write"
"rs.MoveNextWendResponse.Write"
"关闭数据库:rs.close;conn.Close
5.2设计处理表单数据的PHP程序form_cl.php建立与数据库的连接:这里采用PHP的MySql函数法(也可用ODBC函数法)$conn=odbc_connect("localhost","user","xxxxxx");选择数据库:mysql_select_db("tradedb","$conn");获去表单提交的数据:$data1=$ptwbk;$data2=$mmwbk;$data3=$gdwbk;$data4=$dxk;$data5=$fxk;$data6=$lbk;用SQL语句对数据库进行操作查询数据记录:$sql="select*fromtablename";$result=odbc_do($conn,$sql);增加数据记录:$sql="insertintotablename(ptwbk,mmwbk,gdwbk,dxk,fxk,lbk)values(''''$data1'''',''''$data2'''',''''$data3'''',''''$data4'''',''''$data5'''',''''$data6'''')";$result=odbc_do($conn,$sql);更改某条数据记录:$sql="updatetablenameset$data1=ptwbkwhereID=num"$result=odbc_do($conn,$sql);删除某条数据记录:$sql="deletefromtablenamewhereID=num";$result=odbc_do($conn,$sql);将SQL语句处理的数据结果输出odbc_result_all($result,"border=1");关闭数据库:odbc_close($conn);
5.3设计处理表单数据的JSP程序form_cl.jsp建立与数据库的连接:这里采用JDBC-ODBC桥生成JavaBean法创建一个JavaBean命名为conndb.java,并保存在d:/resin1.1.3/doc/web-inf/classes/trade目录下,代码如下:(限于篇幅这里没按标准书写,而采用不换行写法,其他类同)packagetrade;importjava.sql.*;publicclassconndb{Stringurl="jdbc:inetdae:localhost";Stringlogin="user";Stringpassword="xxxxxx";StringsDBDriver="sun.jdbc.odbc.JdbcOdbcDriver";StringsConnStr="jdbc:odbc:Dsnmysql";Connectionconn=null;ResultSetrs=null;publicconndb(){try{Class.forName(sDBDriver);Connectionconn=DriverManager.getConnection(url,login,password);}catch(java.lang.ClassNotFoundExceptione){System.err.println("conndb():"+e.getMessage());}}Public/ResultSet/executeQuery(String/sql)/{rs=null;try{conn=DriverManager.getConnection(sConnStr);Statementstmt=conn.createStatement();rs=stmt.executeQuery(sql);}catch(SQLExceptionex){System.err.println("aq.executeQuery:"+ex.getMessage());}returnrs;}}然后用javac编译conndb.java生成与其同目录的conndb.class文件,在form_cl.jsp文件中加入如下标签即可建立与数据库的连接获去表单提交的数据:Stringdata1=request.getParameter("ptwbk");Stringdata2=request.getParameter("mmwbk")Stringdata3=request.getParameter("gdwbk")Stringdata4=request.getParameter("dxk")Stringdata5=request.getParameter("fxk")Stringdata5=request.getParameter("lbk")语句对数据库进行操作查询数据记录:Stringsql="select*fromtablename";connbean.executeQuery(sql);增加数据记录:Stringsql="insertintotablenamevalues(''''"+data1+"'''',''''"+data2+"'''',''''"+data3+"'''',''''"+data4+"''''+"'''',''''"+data5+"'''',''''"+data6+''''")";connbean.executeQuery(sql);更改某条数据记录:Stringsql="updatetablenamesetdata1=''''"+ptwbk+"'''',data2=''''"+mmvbk+"'''',data3=''''"+gdwbk+"''''whereID=''''"+num+"''''";connbean.executeQuery(sql)删除某条数据记录:Stringsql="deletefromtablenamewhereID=''''"+num+"''''";connbean.executeQuery(sql);;将SQL语句处理的数据结果输出ResultSetrs=connbean.executeQuery(sql);While(rs.next()){out.print("
"+rs.getString("ptwbk")+"
");out.print("
"+rs.getString("mmvbk")+"
");out.print("
"+rs.getString("gdwbk")+"
");out.print("
"+rs.getString("dxk")+"
");out.print("
"+rs.getString("fxk")+"
");out.print("
"+rs.getString("lbk")+"
");}关闭数据库:rs.close();
6三种电子商务网站设计技术综述
6.1主要特性:可见下表设计技术运行平台服务器开发程序扩展组件ASPWindows系列IISVbscript/Jscript/PerlActiveXPHPUnix系列,Novell,WindowsApache等许多服务器phpFunctionJSPUnix系列,Novell,WindowsResin等许多服务器JavaJavaBean
6.2连接数据库的方法:通过上述操作可看出,本文采用了三种操作MySql数据库的方法,Asp采用直接驱动法,Php采用MySql函数法,Jsp采用JDBC-ODBC/JavaBean法
创新点一:网站内容覆盖全面,纵观现在各大浏览器中展示的网址,琳琅满目,类别多,每个类别中包含的其他网站有比较多,但是实现功能却极为相似。给人的感觉就像一盘散沙。家庭网可以更好的将类别汇集,通过自己的需要,用户花费的时间不是在寻找那个网站上,而是直奔主题,直接确定自己的需要。创新点二:涉及的用户年龄分布面广。家庭网不仅仅可以满足现代年轻人基本的上网需求,更增加了青年人和中老年人对上网的需求。通过对中国网民年龄的走向分析,不难发现,青年人和中老年人使用网络的时间正在快速增长,如果能够把这个群体吸引到我们网站,相信一定可以有很高的点击率。创新点三:网上寻求知识的人越来越多。家庭网中包括对青年人学习的指导并且对少年人上网的时间加以限制,对中年人日常生活需要包括热点新闻、养生畅谈,美食,对孕妇等特殊人群怀孕期间的养胎常识、宝宝起名。妈妈日记等,老年人活到老学到老,可以参加老年人培训,学习自己喜爱的知识,在闲暇之余可以利用家庭网专门为老人提供的游戏,视频,广场舞以及戏剧等,丰富自己的生活。创新点四:宣传有新意,网站设计有寓意,能够很好的吸引眼球。好电商就是我,我就是家庭网。真正做到一网在手,全天无忧。不管你是经常上网的网虫还是不善于玩电脑的中老年人,还是想要寻求知识的孩子或者是苦于没时间监督孩子的爸爸妈妈,你都可以使用家庭网。
1.2家庭网网站功能模块
(1)角色世界模块旨在给家人之间的提供一个更加方便的平台。希望家人之间可以更好的交流。此模块特色就是悄悄话,一方面使他们的生活更加丰富,另一方面老人也成为中国网民组成中不可小觑的力量。
(2)夕阳红模块旨在为那些想玩电脑,却不知“从何玩起”退休在家的老人的空余时间提供更加丰富多彩的生活。有了家庭网之后,他们可以在夕阳红模块中更好的利用时间和消磨时间。养生模块中包含各种的养生的方法;美食模块则是为喜欢烹饪的妈妈们准备的。热点聚焦模块可以提供最热点的新闻。老年课堂模块中真正可以帮助老年人实现中国的那句老话“活到老,学到老”,可以参加老年人培训,学习自己喜爱的知识。设置模块中主要的创新在于满足老人的需要,包括设置字体的大小,以及语音播放等。
(3)青少年模块旨在给青少年打造更好的网络环境,帮助青少年更好的利用网络去生活和学习。小学生和中学生模块一方面可以提高孩子自主学习的能力,另一方面可以加强父母对于孩子学习的辅导。掌控时间模块可以方便孩子的自我约束以及父母对孩子的监督。
(4)设置模块用于对全局的设置上,历史记录模块方便再次查找,登录时间的限制,以及模式转换。模式转换是这个模块中的特色。可以更好的让老年人等切换不同的皮肤,针对不同的大小以及每位用户不同的喜好,去设置自己喜欢的格调主题。
(5)孕妇模块主要是针对于孕妇日常保健知识的搜索。在这个模块中孕妇可以获得更全面的信息。宝宝起名模块,方便孕妇对于当下宝宝起名难题的解决;孕期营养模块解决孕妇及产妇补充营养的细节以及小窍门。怀孕监督为孕妇日常生活及产检时间进行细致的提醒;妈妈日记模块是方便妈妈记录孩子珍贵的的点滴成长。
2网站运营分析
2.1财务分析
财务统计方面该网站开通多方网上支付平台,包括支付宝、银联、微信支付、全国联保等,给客户带来最大方便。网上支付是为商家和银行之间建立起连接,实现了第三方的监管和技术保障的作业,让消费者更放心的消费、金融机构到商家的在线货币支持、现金流转、资金清算、查询统计等流程。
2.2未来规划
对于一个刚刚起步的网站来说,最为重要的是提高信息的质量和丰富程度。家庭网未来的服务对象依旧是以家庭为单位,同时满足特殊人群的日常服务需求,在之前的基础上不断改进,加强与各个网站之间的合作,网罗更加全面的信息,并且做到信息及时更新,在符合一切法律和制度的前提条件下,尽可能的满足所有用户的需求,争取在市场上占据稳定的份额。未来我们还会增加电话咨询服务以及上门服务,当您遇到任何问题的时候都可以拨打我们的热线电话,会有专业人士为您解答等。
2.3安全管理问题
家庭网涵盖方面广,种类多。所以,管理者要加强保密观念,提高自身素质,增强责任心,健全规章制度。在网络商品交易过程中,要保证交易的有效性,保密性、完整性和不可否认性。
1网络安全总体状况分析
2007年1月至6月期间,半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。
从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对政府类和安全管理相关类网站主要采用篡改网页的攻击形式,也不排除放置恶意代码的可能。对中小企业,尤其是以网络为核心业务的企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户游戏账号、银行账号、密码等,窃取用户的私有财产。
2用IIS+ASP建网站的安全性分析
微软推出的IIS+ASP的解决方案作为一种典型的服务器端网页设计技术,被广泛应用在网上银行、电子商务、网上调查、网上查询、BBS、搜索引擎等各种互联网应用中。但是,该解决方案在为我们带来便捷的同时,也带来了严峻的安全问题。本文从ASP程序设计角度对WEB信息安全及防范进行分析讨论。
3SP安全漏洞和防范
3.1程序设计与脚本信息泄漏隐患
bak文件。攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,如果你没有删除这个bak文件,攻击者可以直接下载,这样源程序就会被下载。
防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。
inc文件泄露问题。攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。
防范技巧:程序员应该在网页前对它进行彻底的调试。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件,使用户无法从浏览器直接观看文件的源代码。
3.2对ASP页面进行加密。为有效地防止ASP源代码泄露,可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中;二是使用微软的ScriptEncoder对ASP页面进行加密。3.3程序设计与验证不全漏洞
验证码。普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证,从而可以解决这个问题。
登陆验证。对于很多网页,特别是网站后台管理部分,是要求有相应权限的用户才能进入操作的。但是,如果这些页面没有对用户身份进行验证,黑客就可以直接在地址栏输入收集到的相应的URL路径,避开用户登录验证页面,从而获得合法用户的权限。所以,登陆验证是非常必要的。
SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
SQL注入攻击是最为常见的程序漏洞攻击方式,引起攻击的根本原因就是盲目信任用户,将用户输入用来直接构造SQL语句或存储过程的参数。以下列出三种攻击的形式:
A.用户登录:假设登录页面有两个文本框,分别用来供用户输入帐号和密码,利用执行SQL语句来判断用户是否为合法用户。试想,如果黑客在密码文本框中输入''''OR0=0,即不管前面输入的用户帐号和密码是什么,OR后面的0=0总是成立的,最后结果就是该黑客成为了合法的用户。
B.用户输入:假设网页中有个搜索功能,只要用户输入搜索关键字,系统就列出符合条件的所有记录,可是,如果黑客在关键字文本框中输入''''GODROPTABLE用户表,后果是用户表被彻底删除。
C.参数传递:假设我们有个网页链接地址是HTTP://……asp?id=22,然后ASP在页面中利用Request.QueryString[''''id'''']取得该id值,构成某SQL语句,这种情况很常见。可是,如果黑客将地址变为HTTP://……asp?id=22anduser=0,结果会怎样?如果程序员有没有对系统的出错提示进行屏蔽处理的话,黑客就获得了数据库的用户名,这为他们的进一步攻击提供了很好的条件。
解决方法:以上几个例子只是为了起到抛砖引玉的作用,其实,黑客利用“猜测+精通的sql语言+反复尝试”的方式,可以构造出各种各样的sql入侵。作为程序员,如何来防御或者降低受攻击的几率呢?作者在实际中是按以下方法做的:
第一:在用户输入页面加以友好备注,告知用户只能输入哪些字符;
第二:在客户端利用ASP自带的校验控件和正则表达式对用户输入进行校验,发现非法字符,提示用户且终止程序进行;
第三:为了防止黑客避开客户端校验直接进入后台,在后台程序中利用一个公用函数再次对用户输入进行检查,一旦发现可疑输入,立即终止程序,但不进行提示,同时,将黑客IP、动作、日期等信息保存到日志数据表中以备核查。
第四:对于参数的情况,页面利用QueryString或者Quest取得参数后,要对每个参数进行判断处理,发现异常字符,要利用replace函数将异常字符过滤掉,然后再做下一步操作。
第五:只给出一种错误提示信息,服务器都只提示HTTP500错误。
第六:在IIS中为每个网站设置好执行权限。千万别给静态网站以“脚本和可执行”权限。一般情况下给个“纯脚本”权限就够了,对于那些通过网站后台管理中心上传的文件存放的目录,就更吝啬一点吧,执行权限设为“无”好了。
第七:数据库用户的权限配置。对于MS_SQL,如果PUBLIC权限足够使用的绝不给再高的权限,千万不要SA级别的权限随随便便地给。
3.4传漏洞
诸如论坛,同学录等网站系统都提供了文件上传功能,但在网页设计时如果缺少对用户提交参数的过滤,将使得攻击者可以上传网页木马等恶意文件,导致攻击事件的发生。
防文件上传漏洞
在文件上传之前,加入文件类型判断模块,进行过滤,防止ASP、ASA、CER等类型的文件上传。
暴库。暴库,就是通过一些技术手段或者程序漏洞得到数据库的地址,并将数据非法下载到本地。
数据库可能被下载。在IIS+ASP网站中,如果有人通过各种方法获得或者猜到数据库的存储路径和文件名,则该数据库就可以被下载到本地。
数据库可能被解密
由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。因此,只要数据库被下载,其信息就没有任何安全性可言了。
防止数据库被下载。由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。
非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。
使用ODBC数据源。在ASP程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密。
使用密码加密。经过MD5加密,再结合生成图片验证码技术,暴力破解的难度会大大增强。
使用数据备份。当网站被黑客攻击或者其它原因丢失了数据,可以将备份的数据恢复到原始的数据,保证了网站在一些人为的、自然的不可避免的条件下的相对安全性。
3.5SP木马
由于ASP它本身是服务器提供的一项服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。我在这里讲讲如何有效的发现web空间中的asp木马并清除。
技巧1:杀毒软件查杀
一些非常有名的asp木马已经被杀毒软件列入了黑名单,所以利用杀毒软件对web空间中的文件进行扫描,可以有效的发现并清除这些有名的asp木马。
技巧2:FTP客户端对比
asp木马若进行伪装,加密,躲藏杀毒软件,怎么办?
我们可以利用一些FTP客户端软件(例如cuteftp,FlashFXP)提供的文件对比功能,通过对比FTP的中的web文件和本地的备份文件,发现是否多出可疑文件。
技巧3:用BeyondCompare2进行对比
渗透性asp木马,可以将代码插入到指定web文件中,平常情况下不会显示,只有使用触发语句才能打开asp木马,其隐蔽性非常高。BeyondCompare2这时候就会作用比较明显了。
技巧4:利用组件性能找asp木马
如:思易asp木马追捕。
大家在查找web空间的asp木马时,最好几种方法结合起来,这样就能有效的查杀被隐藏起来的asp木马。
结束语
总结了ASP木马防范的十大原则供大家参考:
建议用户通过FTP来上传、维护网页,尽量不安装asp的上传程序。
对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
要尽量保持程序是最新版本。
不要在网页上加注后台管理程序登陆页面的链接。
为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过上传即可。
要时常备份数据库等重要文件。
日常要多维护,并注意空间中是否有来历不明的asp文件。
一旦发现被人侵,除非自己能识别出所有木马文件,否则要删除所有文件。重新上传文件前,所有asp程序用户名和密码都要重置,并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。
做好以上防范措施,您的网站只能说是相对安全了,决不能因此疏忽大意,因为入侵与反入侵是一场永恒的战争!网站安全是一个较为复杂的问题,严格的说,没有绝对安全的网络系统,我们只有通过不断的改进程序,将各种可能出现的问题考虑周全,对潜在的异常情况进行处理,才能减少被黑客入侵的机会。
参考文献