礦大教務(wù)系統(tǒng)（MVC結(jié)構(gòu)C/S模式）特點(diǎn)：獨(dú)立性高（一個(gè)模塊的功能不是同其它模塊緊密地聯(lián)系在一起。功能：學(xué)生：｛學(xué)生選課，成績(jī)查詢，信息維護(hù)｝教師：｛成績(jī)管理，論文管理，科研項(xiàng)目｝管理員：｛選課管理，考試報(bào)名，畢業(yè)設(shè)計(jì)｝C/S模式：（1） 該系統(tǒng)采用的是C/S模式，Client/Server或客戶/服務(wù)器模式）：Client和Server常常分別處在相距很遠(yuǎn)的兩臺(tái)計(jì)算機(jī)上，Client程序的任務(wù)是將用戶的要求提交給Server程序，再將Server程序返回的結(jié)果以特定的形式顯示給用戶；Server程序的任務(wù)是接收客戶程序提出的服務(wù)請(qǐng)求，進(jìn)行相應(yīng)的處理，再將結(jié)果返回給客戶程序。（2） C/S結(jié)構(gòu)的優(yōu)點(diǎn)：是能充分發(fā)揮客戶端PC的處理能力，很多工作可以在客戶端處理后再提交給服務(wù)器。對(duì)應(yīng)的優(yōu)點(diǎn)就是客戶端響應(yīng)速度快。1.應(yīng)用服務(wù)器運(yùn)行數(shù)據(jù)負(fù)荷較輕。2?數(shù)據(jù)的儲(chǔ)存管理功能較為透明。（3） 缺點(diǎn)：客戶端需要安裝專用的客戶端軟件。還有高昂的維護(hù)成本且投資大。注意：首先必須強(qiáng)調(diào)的是C/S和B/S并沒有本質(zhì)的區(qū)別：B/S是基于特定通信協(xié)議（HTTP）的C/S架構(gòu)，也就是說B/S包含在C/S中，是特殊的C/S架構(gòu)。之所以在C/S架構(gòu)上提出B/S架構(gòu),是為了滿足瘦客戶端、一體化客戶端的需要,最終目的節(jié)約客戶端更新、維護(hù)等的成本，及廣域資源的共享。B/S屬于C/S，瀏覽器只是特殊的客戶端；C/S可以使用任何通信協(xié)議，而B/S這個(gè)特殊的C/S架構(gòu)規(guī)定必須實(shí)現(xiàn)HTTP協(xié)議；?瀏覽器是一個(gè)通用客戶端，本質(zhì)上開發(fā)瀏覽器，還是實(shí)現(xiàn)一個(gè)C/S系統(tǒng)。MVC結(jié)構(gòu):MVC全名是ModelViewController，是模型(model)一視圖(view)一控制器(controller)的縮寫，一種軟件設(shè)計(jì)典范，用一種業(yè)務(wù)邏輯、數(shù)據(jù)、界面顯示分離的方法組織代碼，將業(yè)務(wù)邏輯聚集到一個(gè)部件里面，在改進(jìn)和個(gè)性化定制界面及用戶交互的同時(shí)，不需要重新編寫業(yè)務(wù)邏輯。MVC被獨(dú)特的發(fā)展起來用于映射傳統(tǒng)的輸入、處理和輸出功能在一個(gè)邏輯的圖形化用戶界面的結(jié)構(gòu)中。MVC結(jié)構(gòu)優(yōu)點(diǎn)：?耦合性低視圖層和業(yè)務(wù)層分離，這樣就允許更改視圖層代碼而不用重新編譯模型和控制器代碼，同樣，一個(gè)應(yīng)用的業(yè)務(wù)流程或者業(yè)務(wù)規(guī)則的改變只需要改動(dòng)MVC的模型層即可。因?yàn)槟Ｐ团c控制器和視圖相分離，所以很容易改變應(yīng)用程序的數(shù)據(jù)層和業(yè)務(wù)規(guī)則。模型是自包含的，并且與控制器和視圖相分離，所以很容易改變應(yīng)用程序的數(shù)據(jù)層和業(yè)務(wù)規(guī)則。如果把數(shù)據(jù)庫(kù)從MySQL移植到Oracle，或者改變基于RDBMS數(shù)據(jù)源到LDAP，只需改變模型即可。一旦正確的實(shí)現(xiàn)了模型，不管數(shù)據(jù)來自數(shù)據(jù)庫(kù)或是LDAP服務(wù)器，視圖將會(huì)正確的顯示它們。由于運(yùn)用MVC的應(yīng)用程序的三個(gè)部件是相互獨(dú)立,改變其中一個(gè)不會(huì)影響其它兩個(gè)，所以依據(jù)這種設(shè)計(jì)思想能構(gòu)造良好的松耦合的構(gòu)件。重用性高隨著技術(shù)的不斷進(jìn)步，需要用越來越多的方式來訪問應(yīng)用程序。MVC模式允許使用各種不同樣式的視圖來訪問同一個(gè)服務(wù)器端的代碼，因?yàn)槎鄠€(gè)視圖能共享一個(gè)模型,它包括任何WEB(HTTP)瀏覽器或者無線瀏覽器(wap)，比如，用戶可以通過電腦也可通過手機(jī)來訂購(gòu)某樣產(chǎn)品，雖然訂購(gòu)的方式不一樣，但處理訂購(gòu)產(chǎn)品的方式是一樣的。由于模型返回的數(shù)據(jù)沒有進(jìn)行格式化，所以同樣的構(gòu)件能被不同的界面使用。例如，很多數(shù)據(jù)可能用HTML來表示，但是也有可能用WAP來表示，而這些表示所需要的命令是改變視圖層的實(shí)現(xiàn)方式，而控制層和模型層無需做任何改變。由于已經(jīng)將數(shù)據(jù)和業(yè)務(wù)規(guī)則從表示層分開，所以可以最大化的重用代碼了。模型也有狀態(tài)管理和數(shù)據(jù)持久性處理的功能，例如，基于會(huì)話的購(gòu)物車和電子商務(wù)過程也能被Flash網(wǎng)站或者無線聯(lián)網(wǎng)的應(yīng)用程序所重用。生命周期成本低MVC使開發(fā)和維護(hù)用戶接口的技術(shù)含量降低。部署快使用MVC模式使開發(fā)時(shí)間得到相當(dāng)大的縮減，它使程序員Java開發(fā)人員）集中精力于業(yè)務(wù)邏輯，界面程序員（HTML和JSP開發(fā)人員）集中精力于表現(xiàn)形式上。可維護(hù)性高分離視圖層和業(yè)務(wù)邏輯層也使得WEB應(yīng)用更易于維護(hù)和修改。有利軟件工程化管理由于不同的層各司其職，每一層不同的應(yīng)用具有某些相同的特征，有利于通過工程化、工具化管理程序代碼。控制器也提供了一個(gè)好處，就是可以使用控制器來聯(lián)接不同的模型和視圖去完成用戶的需求，這樣控制器可以為構(gòu)造應(yīng)用程序提供強(qiáng)有力的手段。給定一些可重用的模型和視圖，控制器可以根據(jù)用戶的需求選擇模型進(jìn)行處理，然后選擇視圖將處理結(jié)果顯示給用戶。（3）MVC結(jié)構(gòu)的缺點(diǎn)沒有明確的定義完全理解MVC并不是很容易。使用MVC需要精心的計(jì)劃，由于它的內(nèi)部原理比較復(fù)雜，所以需要花費(fèi)一些時(shí)間去思考。同時(shí)由于模型和視圖要嚴(yán)格的分離，這樣也給調(diào)試應(yīng)用程序帶來了一定的困難。每個(gè)構(gòu)件在使用之前都需要經(jīng)過徹底的測(cè)試。不適合小型，中等規(guī)模的應(yīng)用程序花費(fèi)大量時(shí)間將MVC應(yīng)用到規(guī)模并不是很大的應(yīng)用程序通常會(huì)得不償失。增加系統(tǒng)結(jié)構(gòu)和實(shí)現(xiàn)的復(fù)雜性對(duì)于簡(jiǎn)單的界面，嚴(yán)格遵循MVC，使模型、視圖與控制器分離，會(huì)增加結(jié)構(gòu)的復(fù)雜性，并可能產(chǎn)生過多的更新操作，降低運(yùn)行效率。視圖與控制器間的過于緊密的連接視圖與控制器是相互分離，但卻是聯(lián)系緊密的部件，視圖沒有控制器的存在，其應(yīng)用是很有限的，反之亦然，這樣就妨礙了他們的獨(dú)立重用。視圖對(duì)模型數(shù)據(jù)的低效率訪問依據(jù)模型操作接口的不同，視圖可能需要多次調(diào)用才能獲得足夠的顯示數(shù)據(jù)。對(duì)未變化數(shù)據(jù)的不必要的頻繁訪問，也將損害操作性能。一般高級(jí)的界面工具或構(gòu)造器不支持模式改造這些工具以適應(yīng)MVC需要和建立分離的部件的代價(jià)是很高的，會(huì)造成MVC使用的困難。

本系統(tǒng)采用C/S+MVC是合理的，但是還是存在部分問題。例如在網(wǎng)上搜索“獲取正方教務(wù)管理系統(tǒng)賬號(hào)密碼漏洞”簡(jiǎn)介：正方教務(wù)管理系統(tǒng)C/S客戶端與服務(wù)器的Socket傳輸不加密，導(dǎo)致數(shù)據(jù)庫(kù)暴露在公眾之下。可以通過正方教務(wù)管理系統(tǒng)的C/S客戶端進(jìn)行任意賬號(hào)的登錄操作，服務(wù)器會(huì)返回其賬號(hào)極其加密后的密碼，通過簡(jiǎn)單的解密即可任意登陸系統(tǒng)，使系統(tǒng)處于危險(xiǎn)之中。具體如下所述：1、可以通過舊版的C/S客戶端登陸系統(tǒng)，初始化界面，這個(gè)時(shí)候系統(tǒng)已經(jīng)登陸到數(shù)據(jù)庫(kù)中了。然后任意輸入一個(gè)賬號(hào)密碼，單擊登陸按鈕，立即采用抓包工具抓包，可以發(fā)現(xiàn)系統(tǒng)已經(jīng)向服務(wù)器發(fā)送了一個(gè)查詢的SQL語(yǔ)句…趴……，丄…=?■■號(hào)■e.1.e.c,t.*fr.口.ni**■1v-h,b+Jw.h.e+r+■m?b.二j.e.ry：n.w.c.0.1."??a.A.d..j-s.<.>.\￥eA'a.n.cl?.仁....1Op... ■…E…*…i”+*G*A.+P5.<.>. ,fU'r?”CLS.P._+q....1Op... ■…E…*…i”+*G*A.+P5.<.>. ,fU'r?”CLS.P._+q\o"CurrentDocument"盤這里的語(yǔ)句是這樣子的， JOf )^select*fromyhbwhereOf 丿 J0( J^yhm=Tjwc01randjso1教師'and；0< y常 yhb就是用戶表的意思驗(yàn)啦丁\o"CurrentDocument"縮V》學(xué)主 J常 yhb就是用戶表的意思驗(yàn)啦丁2、這時(shí)候因?yàn)殡S意輸入的密碼，所以會(huì)提示您密碼輸入錯(cuò)誤!3、但是????令人發(fā)指的是，抓包發(fā)現(xiàn)已經(jīng)把賬號(hào)密碼發(fā)到自己的客戶端上來了，截圖一枚，這里的密碼雖然經(jīng)過加密，但是加密的方式實(shí)在是想讓我唾罵一把！很簡(jiǎn)單，大家自己看著辦吧!02400250026002700280029002a0OZbO02c002dO02400250026002700280029002a0OZbO02c002dO02e002f0u-L0444ololg00JS89ODO9b4o7eU5448OO44OO7cU64oooo7d84acU55OOOO544O6c.3■id0400000104444c430049000001000557490000500000044a534d4d000100574944544804000006S34357594S01004900574954460400010002斗斗 斗TS UU-Ji.UUOUUULtLtuu看就在這里,自己翟著辦0001霜領(lǐng)巴’哈哈!...材丄n.XXNC..I[ZTH….P■4X**1”” s Wi....ZYMC.'rilDTH..LWKL..I<TH………”J5MM.WIDTH..FCW￥H+,IDTH ..I ..2....D WIDi廣~r4、然后，然后就沒有然后了，順手登陸上去了哦! BHAriifiAHA?U?r?Uljll-?rl^? *fixAW-^bI￡fixAW-^bI￡2032fJHill ，?豈：!?手!aWT 芒ID嘖鴨口)000003000000022d3101...盂芋發(fā)送SQL未加密r? -Ic-cioe8oclO93^T063So703166EUTod004^-78d0030^odod2_cb3053866e3b時(shí)mea4acdorx.1—-*-oooooooooooooo5574944.,.080oa1翦返回)000003000000022d3101...盂芋發(fā)送SQL未加密r? -Ic-cioe8oclO93^T063So703166EUTod004^-78d0030^odod2_cb3053866e3b時(shí)mea4acdorx.1—-*-oooooooooooooo5574944.,.080oa1翦返回結(jié)果仍未加密「無語(yǔ)Data:a8oo7f4110071440055400005534005b93Q005645000^4500004uaoud5449B027640003&44COJ-54&0005oQ-00004^4000Ced7Cad4Gboocd000559000000010444010100008004000093000OO5&00004400000尋484930000話盟口010000訊ODooD0go54648oooo0004119203411一lol00400400550000器器皿00器44器010100