Web開發(fā)實(shí)用技術(shù)Web站點(diǎn)規(guī)劃設(shè)計(jì)、性能優(yōu)化及平安性學(xué)習(xí)要點(diǎn)：1.了解Web站點(diǎn)分類2.熟悉Web站點(diǎn)建設(shè)的流程3.了解Web站點(diǎn)規(guī)劃與設(shè)計(jì)的一般性原那么4.掌握Web站點(diǎn)性能優(yōu)化和提高其平安性的技術(shù)措施Web站點(diǎn)規(guī)劃設(shè)計(jì)、性能優(yōu)化及平安性Web站點(diǎn)建設(shè)過程中還必須考慮Web站點(diǎn)的訪問性能和平安性問題。本章主要介紹Web站點(diǎn)建設(shè)的總體規(guī)劃過程，并在Web站點(diǎn)性能和平安性方面給出一些方法與原那么，使讀者對構(gòu)建Web站點(diǎn)的整個(gè)過程有一個(gè)清晰和明確的了解。第8章Web站點(diǎn)規(guī)劃設(shè)計(jì)、性能優(yōu)化及平安性8.1Web站點(diǎn)的分類及運(yùn)行目的8.2Web站點(diǎn)的目錄結(jié)構(gòu)和鏈接結(jié)構(gòu)8.3Web站點(diǎn)的主題、名稱和Logo標(biāo)志8.4Web站點(diǎn)規(guī)劃的內(nèi)容8.5設(shè)計(jì)Web站點(diǎn)的一般性原那么8.6建設(shè)Web站點(diǎn)的一般步驟8.7Web站點(diǎn)性能優(yōu)化8.8Web站點(diǎn)的平安性8.1Web站點(diǎn)的分類及運(yùn)行目的8.1.1Web站點(diǎn)分類8.1.2Web站點(diǎn)的運(yùn)行目的8.7Web站點(diǎn)性能優(yōu)化8.7.1優(yōu)化Web效勞器硬、軟件配置8.7.2改善Web應(yīng)用程序的性能8.8Web站點(diǎn)的平安性8.8.1在安裝IIS6.0的效勞器上應(yīng)考慮的平安問題8.8.2在安裝SQLSERVER的效勞器上應(yīng)考慮的平安問題8.8.3開發(fā)Web站點(diǎn)程序應(yīng)考慮的平安性問題8.1Web站點(diǎn)的分類及運(yùn)行目的8.1.1Web站點(diǎn)分類1.按Web站點(diǎn)的商業(yè)性質(zhì)劃分Web站點(diǎn)可以分為商業(yè)性Web站點(diǎn)和非商業(yè)性Web站點(diǎn)。商業(yè)性Web站點(diǎn)是以商品交易或提供效勞等為目的的Web站點(diǎn)。例如，易趣網(wǎng)(://)就是一個(gè)商業(yè)性Web站點(diǎn)。2.按Web站點(diǎn)效勞對象的區(qū)域劃分Web站點(diǎn)可以劃分為區(qū)域性Web站點(diǎn)和非區(qū)域性Web站點(diǎn)。區(qū)域性Web站點(diǎn)就是Web站點(diǎn)主題圍繞特定地區(qū)效勞的Web站點(diǎn)。例如，重慶信息港(:///)就是一個(gè)以重慶地區(qū)為特定效勞對象的區(qū)域性Web站點(diǎn)。3.按Web站點(diǎn)的所有權(quán)劃分政府性Web站點(diǎn)例如重慶市政府公眾信息網(wǎng)()。學(xué)校Web站點(diǎn)例如重慶大學(xué)網(wǎng)()。企事業(yè)Web站點(diǎn)例如重慶長安網(wǎng)()。組織性Web站點(diǎn)例如中國網(wǎng)()。個(gè)人Web站點(diǎn)等。4.按組成網(wǎng)頁的形式劃分文字型Web站點(diǎn)。主要是由文字構(gòu)成的,例如新浪網(wǎng)()。圖片型Web站點(diǎn)。以圖片為主,如“可口可樂中國〞()。5.按Web站點(diǎn)使用范圍劃分群眾型Web站點(diǎn)。面向所有互聯(lián)網(wǎng)上的用戶，例如google、搜狐、QQ等。企業(yè)型Web站點(diǎn)。面向企業(yè)用戶，企業(yè)的業(yè)務(wù)處理在互聯(lián)網(wǎng)上都通過該站點(diǎn)來實(shí)現(xiàn)。局部型Web站點(diǎn)。位于企業(yè)內(nèi)部網(wǎng)Intranet上的Web站點(diǎn)。8.1.2Web站點(diǎn)的運(yùn)行目的1.信息效勞例如學(xué)校、政府、企業(yè)形象宣傳、企業(yè)商品信息的發(fā)布等都是免費(fèi)的，而很多網(wǎng)站大都提供有償信息效勞。2．教育和娛樂例如網(wǎng)上學(xué)校、遠(yuǎn)程教學(xué)、網(wǎng)上培訓(xùn)等等。另外大量游戲、音樂、視頻網(wǎng)站等用于公眾娛樂。3．辦公和信息管理站點(diǎn)建設(shè)的目的主要是為了提供辦公自動(dòng)化或者進(jìn)行企業(yè)的信息化管理等。4．電子商務(wù)電子商務(wù)模式主要有:B2B〔BusinesstoBusiness〕指的是商家(泛指企業(yè))對商家的電子商務(wù)，即企業(yè)與企業(yè)之間通過互聯(lián)網(wǎng)進(jìn)行產(chǎn)品、效勞及信息的交換。B2C(BusinesstoCustomer)即商家對消費(fèi)者,也就是通常說的商業(yè)零售，直接面向消費(fèi)者銷售產(chǎn)品和效勞。B2C最具有代表性的B2C電子商務(wù)模式就是網(wǎng)上零售網(wǎng)站，例如中文網(wǎng)上書店當(dāng)當(dāng)網(wǎng)、美國的亞馬遜網(wǎng)上商店等。C2C〔CustomertoCustomer〕即個(gè)體用戶對個(gè)體用戶，或者說是個(gè)體用戶之間的電子商務(wù)，即個(gè)體用戶與個(gè)體用戶之間通過互聯(lián)網(wǎng)進(jìn)行產(chǎn)品、效勞及信息的交換。例如eBay、易趣、淘寶、拍拍網(wǎng)等。BforC〔BusinessForCustomer〕是指中小企業(yè)和個(gè)人消費(fèi)者的任何零星采購都將享受到“團(tuán)購〞價(jià)格，使消費(fèi)者喜歡的團(tuán)購不再受時(shí)間、地點(diǎn)、型號的限制，真正實(shí)現(xiàn)“隨時(shí)隨地的團(tuán)購〞。8.2Web站點(diǎn)的目錄結(jié)構(gòu)和鏈接結(jié)構(gòu)〔1〕不要將網(wǎng)站內(nèi)容全部放在一個(gè)目錄中，按菜單欄目內(nèi)容建立子目錄?！?〕目錄的層次不要太深，盡量用英文命名目錄和文件名8.2.1.Web站點(diǎn)的目錄結(jié)構(gòu)本店經(jīng)營各類毛絨玩具禮品、公仔、靠墊、掛件等等，支持批發(fā)零售，歡送來樣看樣定做生產(chǎn)。為了賺人氣，本店所有商品批發(fā)價(jià)銷售，超低秒殺！雖然我們的信譽(yù)不高，但我們會(huì)以誠信為本，為您提供質(zhì)高價(jià)廉的商品和優(yōu)質(zhì)的效勞！祝您購物愉快！歡送大家來逛逛【揚(yáng)州五亭龍玩具總發(fā)動(dòng)】

個(gè)人小廣告：Web站點(diǎn)的鏈接結(jié)構(gòu)是指頁面之間相互鏈接的拓?fù)浣Y(jié)構(gòu)，它建立在目錄結(jié)構(gòu)根底之上,而且可以跨越目錄。Web站點(diǎn)的鏈接結(jié)構(gòu)有三種根本方式：〔1〕樹狀鏈接結(jié)構(gòu)?！?〕星狀鏈接結(jié)構(gòu)?！?〕混合結(jié)構(gòu)。8.2.2.Web站點(diǎn)的鏈接結(jié)構(gòu)8.3Web站點(diǎn)的主題、名稱和Logo標(biāo)志建設(shè)一個(gè)網(wǎng)站首先要確定網(wǎng)站所屬類別下的主題。主題是Web站點(diǎn)的靈魂，一個(gè)好的Web站點(diǎn)首先需要好主題。一旦確定站點(diǎn)主題,就應(yīng)該圍繞主題給Web站點(diǎn)起一個(gè)名字即Web站點(diǎn)名稱。Web站點(diǎn)名稱對Web站點(diǎn)的形象和宣傳推廣有很大影響。Web站點(diǎn)的名稱選擇一般來說應(yīng)合法、合情、合理，而且不能用色情的、迷信的、反動(dòng)的、危害社會(huì)平安的名詞。名稱能表達(dá)Web站點(diǎn)的內(nèi)涵，給瀏覽者更多的新意和空間想象力。例如黑客基地、久聽音樂和圖書時(shí)空等。站點(diǎn)標(biāo)志作用類似于商標(biāo)，它是Web站點(diǎn)特色和內(nèi)涵的集中表達(dá)。最常用和最簡單的方式是將自己Web站點(diǎn)的名稱作為標(biāo)志。采用不同的字體、字母的變形或組合可以很容易制作好自己的標(biāo)志，如搜索引擎Google的標(biāo)志，就很有動(dòng)感特色。8.4Web站點(diǎn)規(guī)劃的內(nèi)容

Web站點(diǎn)規(guī)劃是指在Web站點(diǎn)建設(shè)前對市場進(jìn)行分析、確定Web站點(diǎn)的目的和功能，并根據(jù)需要對Web站點(diǎn)建設(shè)中的技術(shù)、內(nèi)容、費(fèi)用、測試、維護(hù)等方面做出規(guī)劃。在建立Web站點(diǎn)前應(yīng)明確建設(shè)Web站點(diǎn)的目的、確定Web站點(diǎn)的功能、確定Web站點(diǎn)規(guī)模、投入費(fèi)用，并進(jìn)行必要的市場分析等。只有詳細(xì)地規(guī)劃，才能防止在Web站點(diǎn)建設(shè)中出現(xiàn)問題，使Web站點(diǎn)建設(shè)能順利進(jìn)行。8.4Web站點(diǎn)規(guī)劃的內(nèi)容1.建設(shè)Web站點(diǎn)前的市場分析2.建設(shè)Web站點(diǎn)的目的及功能定位3.Web站點(diǎn)技術(shù)解決方案4.Web站點(diǎn)內(nèi)容規(guī)劃5.網(wǎng)頁設(shè)計(jì)6.Web站點(diǎn)測試7.Web站點(diǎn)發(fā)布與推廣8.Web站點(diǎn)維護(hù)9.Web站點(diǎn)建設(shè)日程表10.費(fèi)用明細(xì)

1.以客戶為中心進(jìn)行Web站點(diǎn)設(shè)計(jì)2.總體設(shè)計(jì)方案主題鮮明3.網(wǎng)頁形式與內(nèi)容統(tǒng)一4.Web站點(diǎn)的結(jié)構(gòu)5.訪問速度6.充分利用多媒體技術(shù)7.Web站點(diǎn)信息的動(dòng)態(tài)發(fā)布8.提供和用戶相互溝通的渠道

8.5設(shè)計(jì)Web站點(diǎn)的一般性原那么8.6建設(shè)Web站點(diǎn)的一般步驟1.Web站點(diǎn)準(zhǔn)備階段進(jìn)行可行性分析，規(guī)劃出Web站點(diǎn)的大致結(jié)構(gòu)?？紤]采用哪一種操作系統(tǒng)、Web效勞器、郵件效勞器、數(shù)據(jù)庫效勞器。進(jìn)行數(shù)據(jù)庫的初步規(guī)劃，考慮開發(fā)維持Web站點(diǎn)的費(fèi)用問題。2.域名注冊域名注冊實(shí)際上就是申請Web站點(diǎn)的一個(gè)名稱，以方便人們來訪問Web站點(diǎn)。域名具有唯一性，已被企業(yè)譽(yù)為“企業(yè)的網(wǎng)上商標(biāo)〞。域名中表示工、商、金融企業(yè)；.edu表示教育機(jī)構(gòu)；.gov表示政府部門；.net表示網(wǎng)絡(luò)效勞部門；.ac表示科研機(jī)構(gòu)。國內(nèi)域名中表示中國，其他如.hk表示香港；.us表示美國等等。國際域名是否已經(jīng)被注冊可通過://interNIC.org(國際互聯(lián)網(wǎng)絡(luò)信息中心interNIC)或者://networksolutions站點(diǎn)進(jìn)行檢查；國內(nèi)域名是否已經(jīng)被注冊可通過://wwwnic(中國互聯(lián)網(wǎng)絡(luò)信息中心CNNIC)站點(diǎn)進(jìn)行檢查。注冊國際域名由國際域名管理機(jī)構(gòu)interNIC負(fù)責(zé)受理，手續(xù)非常簡便，只需上網(wǎng)到相關(guān)Web站點(diǎn)，填寫注冊表后提交，30天內(nèi)支付注冊費(fèi)后即可開通。國內(nèi)域名注冊的權(quán)威機(jī)構(gòu)是CNNIC。3.Web站點(diǎn)的需求分析和總體設(shè)計(jì)需求分析是網(wǎng)站設(shè)計(jì)的重要環(huán)節(jié)。在需求分析的根底上進(jìn)行總體設(shè)計(jì)和數(shù)據(jù)庫設(shè)計(jì)。在此過程中確定站點(diǎn)建設(shè)所需要的軟件和硬件配置、連接因特網(wǎng)的方式、運(yùn)行和維護(hù)費(fèi)用等。4.確定Web站點(diǎn)的組織與風(fēng)格在上述工作根底上，確定Web站點(diǎn)的主頁版面，色彩搭配等，勾畫出整個(gè)Web站點(diǎn)系統(tǒng)的所有全貌，包括每個(gè)頁面的版式布局、鏈接關(guān)系、本卷須知等。Web站點(diǎn)的結(jié)構(gòu)層次不能太深，應(yīng)遵從“三次單擊〞原那么，即Web站點(diǎn)的任何信息都應(yīng)該在最多三次單擊后找到。應(yīng)該使得網(wǎng)頁內(nèi)容可以在InternetExplorer和Netscape兩種主流瀏覽器中都能被正常顯示。Web站點(diǎn)的組織與風(fēng)格是至關(guān)重要的。一個(gè)成功的網(wǎng)頁應(yīng)包含Web站點(diǎn)名稱、Web站點(diǎn)徽標(biāo)、網(wǎng)頁標(biāo)題、網(wǎng)頁內(nèi)容、指向主頁的鏈接、指向其他網(wǎng)頁的鏈接、版權(quán)陳述、Web站點(diǎn)的Email地址和其他聯(lián)系方法等根本要素。一個(gè)網(wǎng)頁的長度一般應(yīng)控制在2頁到3頁的篇幅內(nèi)。在進(jìn)行網(wǎng)頁的版面設(shè)計(jì)時(shí)應(yīng)注意頁面的簡潔性和高效性，讓人們易于找到所關(guān)心的信息，不要讓精美的動(dòng)畫和花哨的圖片喧賓奪主。Web站點(diǎn)應(yīng)確定一個(gè)主色調(diào)和一個(gè)統(tǒng)一的字體風(fēng)格、圖素風(fēng)格等。頁面布局采用框架結(jié)構(gòu)還是采用表格方式應(yīng)根據(jù)實(shí)際情況確定。抓住能傳達(dá)主要信息的字眼作為超鏈接；通常采用層疊樣式單〔CSS〕來保持頁面的字體、字體顏色、背景、邊框、文本屬性等風(fēng)格的一致。5.Web站點(diǎn)開發(fā)和運(yùn)行環(huán)境確實(shí)定根據(jù)站點(diǎn)運(yùn)行的實(shí)際情況確定Web站點(diǎn)的運(yùn)行環(huán)境。在Windows下對于一般性Web站點(diǎn)比較理想的運(yùn)行環(huán)境是WindowsServer2003操作系統(tǒng)+IIS6.0Web效勞器+MicrosoftSQlServer2000/2005數(shù)據(jù)庫效勞器。JAVAEE和.NET開發(fā)平臺各領(lǐng)風(fēng)騷，一般認(rèn)為用Java平臺開發(fā)的站點(diǎn)其平安性和運(yùn)行效率要優(yōu)于.NET平臺開發(fā)的站點(diǎn)。但Java平臺提倡開源，工具的多樣性和復(fù)雜性造成對開發(fā)者的要求很高，增加了開發(fā)難度和系統(tǒng)的維護(hù)本錢，而.NET那么易于學(xué)習(xí)和使用，站點(diǎn)易于實(shí)現(xiàn)，系統(tǒng)維護(hù)本錢低。6.Web站點(diǎn)的開發(fā)Web站點(diǎn)的開發(fā)涉及到工程負(fù)責(zé)人、設(shè)計(jì)人員、程序員、網(wǎng)頁制作人員和美工等。其中工程負(fù)責(zé)人負(fù)責(zé)站點(diǎn)內(nèi)容的總體設(shè)計(jì)、進(jìn)度和人員安排等；設(shè)計(jì)人員負(fù)責(zé)站點(diǎn)頁面布局和整個(gè)站點(diǎn)程序的設(shè)計(jì)、數(shù)據(jù)庫設(shè)計(jì)等工作；程序員主要負(fù)責(zé)效勞器端程序開發(fā)等；網(wǎng)頁制作人員負(fù)責(zé)開發(fā)網(wǎng)頁工作等；美工人員那么負(fù)責(zé)制作動(dòng)畫和圖片，并嵌入到網(wǎng)頁中去。通過FrontPage、DreamWeaver、MicrosoftInterdev6.0/VS2005等等工具來建設(shè)Web站點(diǎn)可大大提高工作效率。建設(shè)Web站點(diǎn)過程中掌握Vbscript或Javascript腳本語言的使用是必須的，只有靈活使用這些腳本語言，才可以開發(fā)出活潑、動(dòng)態(tài)的交互式動(dòng)態(tài)HTML頁面。7.Web站點(diǎn)的測試主要測試內(nèi)容有：功能測試和性能測試、平安性測試、穩(wěn)定性測試、瀏覽器兼容性測試、鏈接測試等?？赏ㄟ^一些專業(yè)工具檢查鏈接錯(cuò)誤，找出網(wǎng)頁制作中存在的各種問題。8.將Web站點(diǎn)接入Internet，并做好網(wǎng)站推廣Web站點(diǎn)開發(fā)成功后，需要放到Internet網(wǎng)上作為一個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)被網(wǎng)上用戶訪問。根據(jù)情況，選擇虛擬主機(jī)方式、效勞器租用或托管方式、鋪設(shè)專線方式來接通Internet，供人們訪問。對于商業(yè)Web站點(diǎn)，正式開通后,如何宣傳自己的Web站點(diǎn)就成為Web站點(diǎn)能否發(fā)揮其作用的關(guān)鍵所在。站點(diǎn)推廣活動(dòng)有長期和短期的；有無償?shù)暮陀袃數(shù)?；有費(fèi)用高的和費(fèi)用低的，當(dāng)然效果也有所不同。比較簡單的是通過群發(fā)郵件、在各大論壇注冊后討論、讓搜索引擎幫助等方式來推廣，在這方面使用一些適當(dāng)?shù)募记?可以得到百倍于投入的收益。9.Web站點(diǎn)的運(yùn)行平安和維護(hù)管理涉及到Web站點(diǎn)的平安性方面的問題比較多，主要包括：身份竊取、數(shù)據(jù)竊取、假冒、非授權(quán)存取、錯(cuò)誤路由、否認(rèn)、拒絕效勞等等。在站點(diǎn)效勞器上要保證操作系統(tǒng)的漏洞及時(shí)得到升級，精心配置Web效勞器、郵件效勞器、數(shù)據(jù)庫效勞器的各項(xiàng)參數(shù)設(shè)置。Web站點(diǎn)的維護(hù)和管理包括效勞器的維護(hù)、站點(diǎn)程序的維護(hù)、內(nèi)容的更新和信息的發(fā)布等。主要工作包括要對存在的問題進(jìn)行修改、對Web站點(diǎn)內(nèi)容進(jìn)行更新或修改、及時(shí)去除一些垃圾頁面或圖片、對數(shù)據(jù)庫進(jìn)行備份等。8.7Web站點(diǎn)性能優(yōu)化8.7.1優(yōu)化Web效勞器硬、軟件配置使用快速的磁盤和好的網(wǎng)絡(luò)存取機(jī)制，能明顯改進(jìn)Web站點(diǎn)訪問速度?？梢赃\(yùn)用特定網(wǎng)卡〔如Akamba公司的Velobahn〕來改進(jìn)效勞器的速度，或是采用相關(guān)技術(shù)優(yōu)化網(wǎng)絡(luò)接口卡的性能。這類網(wǎng)卡可減輕Web效勞器CPU的負(fù)荷，使其從繁瑣的網(wǎng)絡(luò)協(xié)議處理中解脫出來，而集中于頁面處理和效勞提供?？梢詾閃eb效勞器增加反向緩沖代理，使效勞器能夠順利實(shí)現(xiàn)已創(chuàng)立頁面的傳輸，同時(shí)在創(chuàng)立動(dòng)態(tài)頁面過程中減輕效勞器負(fù)荷?？梢酝ㄟ^對數(shù)據(jù)庫效勞器和Web效勞器的配置在緩沖、壓縮、帶寬限制、進(jìn)程限制等方面提高Web站點(diǎn)的性能。1.幫頁面減肥2.盡量使用靜態(tài)HTML頁面3．切忌將整個(gè)頁面內(nèi)容塞到一個(gè)Table中4.將ASP/ASP.NET、JSP、PHP等文件的訪問改為js文件引用5.使用iframe嵌套另一頁面。6.站點(diǎn)計(jì)數(shù)器的放置位置7．?dāng)?shù)據(jù)庫的連接和關(guān)閉8.盡量使用存儲(chǔ)過程9.優(yōu)化查詢語句8.7.2改善Web應(yīng)用程序的性能10.ASP.NET中編程本卷須知〔1〕選擇適合的數(shù)據(jù)查看機(jī)制?！?〕采用Server.Transfer重定向頁面?！?〕在部署Web站點(diǎn)時(shí)，不要啟用調(diào)試模式?！?〕將SqlDataReader類用于快速只進(jìn)數(shù)據(jù)游標(biāo)?！?〕字符串操作性能優(yōu)化?！?〕應(yīng)考慮編譯運(yùn)行Web應(yīng)用程序。〔7〕不要依賴代碼中的異常?！?〕只在必要時(shí)保存效勞器控件視圖狀態(tài)?！?〕防止到效勞器的不必要的往返過程?！?0〕使用Page.IsPostBack防止執(zhí)行不必要的處理。〔11〕當(dāng)不使用會(huì)話狀態(tài)時(shí)禁用它?！?2〕仔細(xì)選擇會(huì)話狀態(tài)提供程序?！?3〕不使用不必要的Web效勞器控件?！?4〕優(yōu)化Web效勞器配置文件?！?5〕緩存數(shù)據(jù)和頁面輸出。11.ASP.NET應(yīng)用程序性能測試8.8Web站點(diǎn)的平安性〔1〕采用NTFS分區(qū)；盡可能安裝操作系統(tǒng)的最新效勞包和修補(bǔ)程序；增強(qiáng)口令的平安性；在網(wǎng)絡(luò)配置中禁用WINS、NETBIOS、LMHOST(用于IP地址與Windows計(jì)算機(jī)名稱的映射)；停掉或卸載不必要的進(jìn)程或效勞?！?〕將磁盤上的默認(rèn)Web站點(diǎn)位置從c:\inetpub\更改到其他位置。〔3〕使用IIS鎖定工具〔IISLockdownTool〕刪除應(yīng)用程序中未使用的所有其他動(dòng)態(tài)內(nèi)容類型，以縮小攻擊者可用來攻擊的區(qū)域；〔4〕確保應(yīng)用程序使用低權(quán)限的ASP.NET賬戶運(yùn)行ASP.NET代碼；

8.8.1在安裝IIS6.0的效勞器上應(yīng)考慮的平安問題〔5〕將ASP.NET賬戶添加到IIS鎖定工具創(chuàng)立的本地“Web應(yīng)用程序組〞，以防進(jìn)程運(yùn)行任何未得到授權(quán)的命令行可執(zhí)行程序；〔6〕停掉默認(rèn)的Web網(wǎng)站，新建一個(gè)網(wǎng)站作為Web應(yīng)用程序站點(diǎn)，用虛擬目錄來指定Web訪問路徑；〔7〕配置URLScan2.5，使其只允許應(yīng)用程序中使用的擴(kuò)展集，并阻止較長的請求〔URLScan2.5是由IIS鎖定工具安裝的，是一個(gè)ISAPI過濾器，可根據(jù)查詢長度和字符集等規(guī)那么監(jiān)視和過濾發(fā)送到IISWeb效勞器的所有輸入請求〕；〔8〕設(shè)置Web內(nèi)容目錄的訪問權(quán)限，授予ASP.NET進(jìn)程對內(nèi)容文件的讀訪問權(quán)限，授予匿名用戶對所提供內(nèi)容的適當(dāng)只讀訪問權(quán)限；〔9〕限制對IIS和URLScan的日志目錄的訪問，只有系統(tǒng)賬戶和系統(tǒng)管理員組才具有訪問權(quán)限?！?0〕安裝防病毒軟件和防木馬軟件等，啟用計(jì)算機(jī)的防火墻功能。僅留必要的端口號?！?1〕創(chuàng)立注冊表項(xiàng)：nolmhash、NoDefaultExempt、DisableIPSourceRouting、SynAttackProtect來提高系統(tǒng)平安性。(12)通過對Web訪問的日志進(jìn)行審計(jì)，可以發(fā)現(xiàn)一些對平安方面有幫助的信息?！?〕SQLServer安裝在NTFS分區(qū)上；〔2〕為數(shù)據(jù)庫訪問建立替代帳號，并為替代帳號設(shè)置數(shù)據(jù)庫訪問角色，不要用sa帳號。〔3〕安裝數(shù)據(jù)庫系統(tǒng)的最新效勞包〔對SQLserver2000應(yīng)安裝ServicePack4〕。〔4〕將數(shù)據(jù)庫系統(tǒng)設(shè)置成禁用其他SQLSERVER通過RPC遠(yuǎn)程連接；〔5〕選擇低權(quán)限本地賬戶，啟動(dòng)SQLServer效勞；〔6〕停止DistributedTransactionCoordinator(MSDTC)效勞，并將其設(shè)置為手動(dòng)啟動(dòng)?！?〕禁止數(shù)據(jù)庫效勞器運(yùn)行COM+應(yīng)用程序；8.8.2在安裝SQLSERVER效勞器上應(yīng)考慮的平安問題〔8〕限制所支持的身份驗(yàn)證協(xié)議的級別〔在[控制面板]|[管理工具]|[本地平安設(shè)置]|[平安設(shè)置]|[本地策略]|[平安選項(xiàng)]:LANManager身份驗(yàn)證級別中進(jìn)行設(shè)置〕；〔9〕禁用應(yīng)用程序不需要的SQLServer代理和Microsoft搜索效勞；〔10〕設(shè)置ServerNetwork的網(wǎng)絡(luò)屬性,由“直接客戶端播送〞改為“隱藏SQLServer〞；〔11〕如應(yīng)用程序不使用“命名管道〞協(xié)議，那么刪除之；〔12〕限制數(shù)據(jù)庫用戶只具有用得到的數(shù)據(jù)庫操作權(quán)限?！?3〕"xp_cmdshell"是擴(kuò)展存儲(chǔ)過程，可以執(zhí)行操作系統(tǒng)級命令，該存儲(chǔ)過程的功能通過SQLSERVER安裝目錄中的文件"C:\ProgramFiles\MicrosoftSQLServer\MSSQL\Binn\xplog70.dll"獲得，如果系統(tǒng)沒有用到"xp_cmdshell"擴(kuò)展存儲(chǔ)過程，請將該文件換名或刪除掉。8.8.2在安裝SQLSERVER效勞器上應(yīng)考慮的平安問題〔1〕對Web應(yīng)用系統(tǒng)應(yīng)建立基于角色的用戶權(quán)限管理機(jī)制；〔2〕使用參數(shù)化存儲(chǔ)過程?！?〕輸入有效性驗(yàn)證?！?〕盡量少用session和Application變量，切忌不要通過session用來在頁面間傳遞大數(shù)據(jù)量?！?〕信息加密存儲(chǔ)。8.8.3開發(fā)Web站點(diǎn)程序應(yīng)考慮的平安性問題<authenticationmode="Forms"><formsname="userInfo"loginUrl="login.aspx"protection="All"></forms></authentication><authorization><denyusers="?"/></authorization>

〔6〕窗體身份驗(yàn)證。窗體身份驗(yàn)證即是當(dāng)用戶請求一個(gè)平安頁面時(shí)，系統(tǒng)要對其進(jìn)行判斷，如果該用戶已經(jīng)登錄系統(tǒng)并尚未超時(shí)，系統(tǒng)將返回此頁面給請求用戶；反之如該用戶尚未登錄，系統(tǒng)就要將此用戶重定向到登錄頁面。以上所述功能的實(shí)現(xiàn)只需對Web.config文件進(jìn)行如下配置即可。在登錄頁面中添加如下代碼：if(與數(shù)據(jù)庫的用戶名密碼字段比較判斷用戶是否合法){System.Web.Security.