設(shè)計(jì)流程網(wǎng)站登錄及注冊(cè)功能,網(wǎng)站設(shè)計(jì)論文【題目】【第一章】【2.1-2.3】【2.4】【第三章】【第四章】【5.1】【5.25.3】【5.4-5.7】設(shè)計(jì)流程網(wǎng)站登錄及注冊(cè)功能【總結(jié)/以下為參考文獻(xiàn)】5.4實(shí)現(xiàn)流程網(wǎng)站數(shù)據(jù)Excel導(dǎo)出程序主要通過(guò)循環(huán)寫入方式導(dǎo)出Excel文件。在導(dǎo)出前，先設(shè)置了文件標(biāo)題、單元格格式，然后寫入數(shù)據(jù)，最后設(shè)置列表寬度。為防止文件名中文亂碼采用urlencode函數(shù)。假如導(dǎo)出行數(shù)太多，一般不超過(guò)500行，考慮到效率，不建議去設(shè)置每個(gè)單元個(gè)的字體格式。5.5設(shè)計(jì)流程網(wǎng)站登錄及注冊(cè)功能。一個(gè)系統(tǒng)的登錄界面是該系統(tǒng)的入口，這是系統(tǒng)的第一道防線。如今網(wǎng)絡(luò)技術(shù)飛速發(fā)展，黑客的非法手段也層出不窮。黑客出于個(gè)人興趣和利益的驅(qū)動(dòng)，經(jīng)常將系統(tǒng)中存在的某些漏洞挖掘出來(lái)并加以利用，借以獲取相應(yīng)的利益。在Web應(yīng)用中，對(duì)程序中的SQL注入漏洞是最為明顯的，這也是我在系統(tǒng)安全設(shè)計(jì)中要重點(diǎn)考慮的。所謂SQL注入，就是通過(guò)將SQL命令參加到Web表單進(jìn)行提交申請(qǐng)、或者借助輸入域名和頁(yè)面請(qǐng)求的方式進(jìn)行查詢字符串，借以到達(dá)欺騙服務(wù)器執(zhí)行惡意的SQL命令。有試驗(yàn)表示清楚，在介入測(cè)試的1000個(gè)網(wǎng)站中進(jìn)行搜索取樣測(cè)試，發(fā)現(xiàn)華而不實(shí)15%的網(wǎng)站有SQL注入漏洞存在。SQL注入是通過(guò)拼接特殊的字符作為參數(shù)傳入后臺(tái)應(yīng)用程序，這些輸入基本上都是數(shù)據(jù)庫(kù)語(yǔ)法里的一些組合，通經(jīng)過(guò)序正常執(zhí)行SQL語(yǔ)句進(jìn)而執(zhí)行攻擊者所要的操作目的，其主要原因是當(dāng)初設(shè)計(jì)程序的開發(fā)人員沒有細(xì)致地過(guò)濾用戶錄入的數(shù)據(jù)，導(dǎo)致不合法的數(shù)據(jù)錄入系統(tǒng)。根據(jù)相關(guān)技術(shù)原理，SQL注入能夠分為兩種：一是代碼層注入，另一種是平臺(tái)層注入。代碼層注入主要是由于程序員對(duì)數(shù)據(jù)未進(jìn)行充分地過(guò)濾，導(dǎo)致數(shù)據(jù)庫(kù)執(zhí)行了意外的數(shù)據(jù)查詢；平臺(tái)層注入而是由數(shù)據(jù)庫(kù)軟件漏洞或不安全的數(shù)據(jù)庫(kù)配置所致。由此可見，常見SQL注入的原因能夠通過(guò)下面幾方面表現(xiàn)：不適宜的處理轉(zhuǎn)義字符；類型處理不合理；數(shù)據(jù)庫(kù)配置不安全存在疏忽；查詢集處理不合理；錯(cuò)誤處理不當(dāng)?shù)?。由于ZendFramework本身就考慮到sql注入問題。系統(tǒng)中但凡牽涉到SQL語(yǔ)句的，我基本都采用了ZendFramework所推薦的方式方法：添加引號(hào)防止數(shù)據(jù)庫(kù)攻擊。這里主要有2種：第一種是利用quote〔〕方式方法。該方式方法能夠根據(jù)數(shù)據(jù)庫(kù)adapter為標(biāo)量添加上對(duì)應(yīng)適宜的引號(hào)，當(dāng)需要對(duì)一個(gè)數(shù)組進(jìn)行quote操作時(shí)候，它將給數(shù)組當(dāng)中的每個(gè)元素都加上引號(hào)，并使用,分隔來(lái)返回。第二種是quoteInto〔〕方式方法。該方式方法是提供一個(gè)基礎(chǔ)字符，該基礎(chǔ)字符包含問號(hào)等在內(nèi)的占位符等，通過(guò)在該位置參加帶引號(hào)的標(biāo)量或者數(shù)組。該方式方法對(duì)需要構(gòu)建查詢sql語(yǔ)句和條件語(yǔ)句等很有幫助。開發(fā)人員在使用quoteInto處理標(biāo)量和數(shù)組時(shí)，返回的結(jié)果與采用quote〔〕方式方法一樣。服務(wù)器端先獲取前臺(tái)客戶端用戶提交過(guò)來(lái)的兩個(gè)參數(shù)，一個(gè)是用戶名變量：$id,還有一個(gè)就是用戶密碼變量：$pwd.這里先不急于把兩個(gè)參數(shù)同時(shí)提交給后臺(tái)執(zhí)行查詢。而是采用先去查詢用戶名能否存在，假如存在，再進(jìn)行密碼的比擬。假如不存在直接返回登錄界面并給出報(bào)錯(cuò)信息。由于數(shù)據(jù)庫(kù)中密碼是采用MD5加密方式存儲(chǔ)的，所以比擬時(shí)要對(duì)用戶輸入的密碼進(jìn)行一次MD5編碼運(yùn)算，假如匹配成功，將用戶的基本信息寫入本機(jī)session中，便于以后讀取用戶信息，然后跳轉(zhuǎn)到系統(tǒng)的主頁(yè)。假如不成功，直接返回登錄界面并給出錯(cuò)誤代碼。這樣設(shè)計(jì)的好處就是在登錄不通過(guò)時(shí)，服務(wù)器能夠明確的給出登錄用戶到底是用戶名輸入錯(cuò)誤還是密碼有誤。在用戶注冊(cè)時(shí)，前臺(tái)運(yùn)用AJAX做了屢次動(dòng)態(tài)驗(yàn)證，只要任意一個(gè)必填信息為空或者出錯(cuò)時(shí)，提交按鈕將始終不能按下，并及時(shí)給予相關(guān)報(bào)錯(cuò)信息。并且在后臺(tái)也有相對(duì)應(yīng)的驗(yàn)證經(jīng)過(guò)，以防止非法用戶繞過(guò)前臺(tái)上傳提交表單。網(wǎng)站的其它安全防備由于ZendFramework所有的動(dòng)作都是經(jīng)過(guò)控制器運(yùn)行的，所以任何一個(gè)跳轉(zhuǎn)都會(huì)先經(jīng)過(guò)后臺(tái)服務(wù)器運(yùn)算后再發(fā)送給前臺(tái)客戶端。這樣就能夠防止用戶在知道網(wǎng)址后通過(guò)直接輸入網(wǎng)頁(yè)地址的方式非法訪問部分本沒有權(quán)限進(jìn)入的頁(yè)面了。首先，先開啟session,假如是合法用戶，勢(shì)必在系統(tǒng)登錄成功后計(jì)算時(shí)機(jī)在系統(tǒng)中生成一個(gè)session文件。服務(wù)器找到這個(gè)特定的session文件后方可進(jìn)行接下來(lái)的操作。假如一名非法用戶在沒有用戶名和密碼的情況下，想登錄系統(tǒng)，但他知道某個(gè)頁(yè)面的URL地址，于是他輸入了URL打算跳轉(zhuǎn)到該頁(yè)面。這樣做沒有通過(guò)系統(tǒng)登錄界面驗(yàn)證，就不會(huì)生成session文件。于是服務(wù)器就果斷將地址跳轉(zhuǎn)到index頁(yè)面即系統(tǒng)的登錄頁(yè)面，非法用戶會(huì)無(wú)奈地再次回到系統(tǒng)登錄頁(yè)面。5.6設(shè)計(jì)流程網(wǎng)站權(quán)限功能。系統(tǒng)建設(shè)經(jīng)過(guò)中權(quán)限控制是較難進(jìn)行的工作，從理論上來(lái)講，針對(duì)不同的角色開創(chuàng)建立對(duì)應(yīng)的網(wǎng)頁(yè)是可行的，但在實(shí)際操作中卻難以令人接受，當(dāng)兩個(gè)角色的權(quán)限或功能差距只要細(xì)微差異不同時(shí)來(lái)開創(chuàng)建立兩套頁(yè)面對(duì)于開發(fā)人員和系統(tǒng)資源消耗上來(lái)講，都是不能接受的事情，這樣的架構(gòu)設(shè)計(jì)不僅將帶來(lái)工作量成倍的增長(zhǎng)，還帶來(lái)系統(tǒng)資源過(guò)度消耗，也為后期的維護(hù)帶來(lái)隱患，增加維護(hù)工作的工作量，因而，開發(fā)一套能夠針對(duì)不同的角色都能夠通用的接口網(wǎng)頁(yè)就變成一種需求。剛開場(chǎng)我們使用的是每個(gè)用戶都有一個(gè)grade的字段來(lái)控制其各種各樣的登陸，閱讀，編輯等權(quán)限，在使用者越來(lái)越多，權(quán)限變化越來(lái)越多樣化之后，我們以為一個(gè)單一的grade權(quán)限編輯并不能完成每個(gè)人的權(quán)限。所以在之后設(shè)計(jì)的時(shí)候就開場(chǎng)考慮以每個(gè)用戶、每個(gè)頁(yè)面、頁(yè)面上關(guān)鍵元素為單元，進(jìn)行系統(tǒng)權(quán)限的設(shè)計(jì)。這樣非但能精到準(zhǔn)確到每個(gè)頁(yè)面權(quán)限，并且能夠知足最完好的人員與頁(yè)面相關(guān)的權(quán)限構(gòu)造。在這里只要使用兩張簡(jiǎn)單的表來(lái)實(shí)現(xiàn)。一張是權(quán)限講明表，另一張是權(quán)限明細(xì)表。權(quán)限講明表主要是講明權(quán)限的編號(hào)和定義講明。權(quán)限明細(xì)表是記錄用戶具有哪些權(quán)限的。5.7運(yùn)用網(wǎng)站數(shù)據(jù)分頁(yè)技術(shù)。在網(wǎng)頁(yè)數(shù)據(jù)顯示中，很多查詢出來(lái)的數(shù)據(jù)需要以表格的形式來(lái)顯示。這些數(shù)據(jù)量通常比擬大，假如一下子全部展現(xiàn)給客戶端顯示，不僅難以查找，而且還容易看錯(cuò)不友好，最重要的是會(huì)給網(wǎng)絡(luò)增加一定的負(fù)擔(dān)。這時(shí)候就要采用分頁(yè)技術(shù)來(lái)減小網(wǎng)絡(luò)吞吐量。何為分頁(yè)技術(shù)呢？分頁(yè)技術(shù)是將所有數(shù)據(jù)分段展示給用戶的一種技術(shù)。用戶所看到的并不是全部的數(shù)據(jù)，而是提早經(jīng)過(guò)挑選的華而不實(shí)一部分，用戶假如在顯示數(shù)據(jù)中沒有查找到自個(gè)所想要的內(nèi)容，則能夠通過(guò)制定頁(yè)碼或者是翻頁(yè)的方式繼續(xù)查找或轉(zhuǎn)換可見內(nèi)容的形式來(lái)找到自個(gè)需要查看的內(nèi)容。[10]分頁(yè)技術(shù)確實(shí)有效，但同時(shí)也會(huì)在一定程度上提高系統(tǒng)的復(fù)雜度。當(dāng)數(shù)據(jù)量少的時(shí)候能夠不進(jìn)行分頁(yè)，但對(duì)于企業(yè)信息系統(tǒng)來(lái)講，數(shù)