ASP网站设计安全性分析论文

摘要：随着互联网的飞速发展，气象网站也日益增多，网站安全已成为网站的首要问题。本文结合笔者ASP气象网站的开发经验，通过列举一些采用了ASP+Access/SQLServer构建气象网站的安全隐患，并提出了几种解决方法。下面是小编精心推荐的《ASP网站设计安全性分析论文(精选3篇)》，仅供参考，希望能够帮助到大家。

ASP网站设计安全性分析论文 篇1：

基于ASP.NET的班级特色管理网站设计与实现

摘  要：随着互联网时代的到来，信息技术在教学管理中应用广泛，每个班级都具有自己的特色。在此背景下，利用ASP.NET技术与SQL Server相结合的方法对班级特色管理网站进行开发，首先对网站进行需求分析，而后运用ASP.NET技术来设计，采用数据库对班级信息进行管理，同时在网页中增加了学习建议、生活日志、学习日志、资讯展览、相册的上传和下载、成绩查询、班级资讯等模块，可以在班级资讯发布班级的特色文化和上传班级的各种精彩瞬间，这些模块可以满足不同学生的需求，如学生可以在网上发布日志，浏览或点赞日志等，通过这些模块的功能实现充分展现班级特色。最后对网站进行测试，结果表明，本网站的所有模块都能成功运行，经过学生和老师的试用，深得师生的喜爱和好评。该班级特色管理网站可以跨区域、跨班级使用，可为班级提供一个有意义的管理平台，进而增强班级凝聚力，对学生和管理人员来说极具便捷性，具有一定的推广性。

关键词：班级管理;成绩查询;数据库;ASP.NET

1   引言（Introduction）

当今时代，中小学、大学的学生规模有增无减，学生个性化鲜明，采集与处理学生信息耗时耗力，班级管理是教学管理中一项复杂且重要的工作，传统的人工管理烦琐且效率低[1]。为减轻老师的工作负担，提高工作效率，将网站管理应用于班级管理刻不容缓。在这个计算机技术飞速发展的时代，将计算机技术运用于日常教学管理中，已经成为一个流行趋势，信息自动化的作用和人机更友好的交互页面显得更加重要[2]。創建班级特色管理网站，不仅可以减轻老师的负担，更能培养学生主人翁意识，增强老师与学生间的交流合作以及班级凝聚力，同时，班级特色管理网站的应用对于开拓学生的课外生活具有重要的意义。目前，尚未发现有班级特色管理网站的实现，基于此，提出基于ASP.NET的班级特色管理网站设计与实现。

2   相关技术概述（Overview of related technologies）

2.1   ASP.NET

ASP.NET提供了对于网站应用程序的全部解决方案。它对程序代码和显示内容进行分离，代码看起来也相对整洁、清晰，这是其特色所在。动态网页与数据库相连进行数据交互，采用ADO.NET作为数据库访问模型，ADO.NET是应用程序和数据源之间沟通的重要角色。同时，ASP.NET的服务器端控件为用户提供了接口控件，可以直接对其进行编程操作，因此也较大地提高了建立应用程序的速度。

2.2   Microsoft Visual Studio 2013

Microsoft Visual Studio 2013是Windows平台应用程序的集成开发环境，是由微软公司提供的一种开发工具包系列产品。由编译、运行、调试等组成。它可以在公共语言的基础上，进行多种语言的运行编译，为开发人员提供了非常便捷的系统开发编程平台。它还提供了软件生命周期中所需要的工具与服务，加强了数据与服务的联系，是当今热度较高的开发环境。为此，网站优先选择此开发环境。

2.3   SQL Server 2008数据库

SQL Server 2008是新一代的数据库管理产品，是一种热门的数据库管理系统。它拥有集成的开发环境，简化了对数据的访问，其优势为具有可拓展性、安全性以及高级的数据提取性。它具有数据结构化性，数据直接面向整个系统，并且具有数据共享性、数据独立性[4]。在数据库不断产生新数据时，数据的重复性会减少，对存储空间的要求也降低。除此之外，SQL Server 2008可以使各个数据库表之间保持良好的联系，提供了解决方案来存储和管理许多数据类型，因此采用SQL Server 2008数据库来对班级特色管理网站的数据库进行管理和设计。

2.4   B/S结构

B/S结构即浏览器和服务器结构，ASP.NET开发的系统是基于这个模式的。三层架构即用户表示层、业务逻辑层、数据访问层[5]。当用户浏览网站时，可以免去安装专业软件的步骤，可以直接在浏览器上进行操作。此外，B/S的一大优点就是减少系统维护的工作量，降低了维护系统的成本。选择B/S为网站设计开发的结构满足了用户的需求，符合时代标准。

3  网站功能需求分析（Analysis of the Functional Requirements of the Website）

3.1   需求可行性分析

当今学生个性化鲜明，由此而形成的班集体也各具特色。建设班级特色管理网站是一个可以应用于不同班级上的特色网站，在此网站上管理员对班级信息进行控制与管理。用户在网站上获取关于班级的信息，以及对成绩进行查询。同时用户可以在此网站上浏览到班级的特色文化，这是每个学生的关注点。在当今信息化时代的背景下，采用网站对班级进行管理是有必要的，不仅会让管理更加科学化，高效化，同时也能满足学生家长的需求。

3.2   技术可行性分析

网站建设所采用的语言为C#语言，C#语言是微软专门为.NET平台而创建的，由C语言和C++语言演化而来的语言，C语言和C++所能完成的任务，C#都可以完成[6]。对于开发网站而言，C#语言具有一定的优势性，是一种类型安全的语言，便于阅读与调试。该语言作为大学的必修课程，可用性强，应用性强。网站采用ASP.NET技术，兼容性极强，程序语法等方面也比较简单明了，对于技术人员来说具有更好的开放性。班级特色管理网站针对的人群主要是年轻个性化的学生，年轻群体多注重网站操作的便捷性，因而采用B/S架构进行设计，可为用户带来良好的体验。网站可以跨地区，跨学校使用，具有极强的应用性。

3.3   操作可行性分析

网站的界面设计简洁清新，颜色风格搭配一致，符合学生的审美，导航栏上的功能需求分布均匀，一目了然。用户进入网站后，可以直观地看到导航菜单的各项功能，从而通过选择功能来对网站进行使用，可以快速地浏览到自己需要的信息。对于管理人员来说，另设有登录区，管理员可对网站上的信息进行管理操作，包括对数据的修改、录入等。利用班级特色管理网站来管理相比于传统的人工管理，具有一定的优势。

4   网站总体设计（Overall design of the website）

4.1   网站功能模块设计

网站设计分为用户端与管理端两个端口，不同的身份可以实现不同的功能，用户端包括班级信息、相册、日志、成绩查询等模块，管理端包括系统管理、班级管理、日志管理、成绩管理、学生管理等模块，整体的网站功能模块结构图如图1所示。

4.2   数据库设计

在网站的开发过程中，需要搭配对应的数据库进行使用，网站产生的数据需要存储到数据库中。在建立数据库前，需要分析本网站需要的数据，网站需要建立的数据库表共有12个，这些数据库表分别为：管理员信息表、学生成绩表、评论记录表、日志记录表、日志分类表、课程分数表、新闻信息表、班级信息分类表、班级相册表、相册分类表、学生表、学期表[7]。

5   网站的实现（Website implementation）

网站的前端设计的功能模块主要有：主页模块、登录模块、日志模块、相册模块、成绩查询模块。

5.1   主頁模块

主页模块主要是网站的首页，用户最直观可见的部分，用户登录后通过首页的功能项，可以查询到自己需要的部分，比如班务费使用、课表、座位表，点击进去会出现不同的界面。首页部分的设计主要以简洁大方为主，菜单栏清晰，供用户查询。具体的设计如图2所示。

主页设计的部分相关代码如图3所示。

5.2   登录模块

用户进入网站后可以看到网站右上角有用户登录这个控件，点击进去，然后输入正确的账号和密码就可以进行登录。具体的设计如图4所示。

登录界面实现Button2的相关代码如图5所示。 

5.3   日志模块

用户进行登录后，可以发布日志，日志的类型和内容可让用户自行编辑，例如学习日志、生活日志。用户还可以根据自己的兴趣阅读相应的日志，可在日志下方进行评论、点赞。以此促进班级的交流。这是完全可以按照用户的喜好而定的。具体的设计如图6所示。

5.4   相册模块

对于未登录的用户可浏览班级相册不能上传相片，登录后的用户在导航栏找到上传相片这项功能，在图片上传前应写好相册类型、相片名字等，然后进行上传。具体的设计如图7所示。

5.5   成绩查询模块

在此模块中，用户在对应处找到自己的姓名，然后选择需要查询的学期，就可以查询成绩，并计算总分。该模块的设计对于学生成绩的查询具有便捷性。具體的设计如图8所示。

6   网站测试（Website testing）

6.1   测试目的与重要性

网站的测试是建设好网站的一个非常关键的步骤。为了给班级提供网站管理的平台，通过测试可找出网站的错误和缺陷，分析网站的功能是否达到预期的目标，保证网站的稳定运行。网站得以稳定运行才能投入使用，如果用户打开网站，某个页面或者模块有乱码，或者是某项功能不能实现，这是很苦恼的事情。同时，这也会导致网站失去用户，降低用户对网站的使用率和信心。所以，对网站进行相应的测试就显得尤为重要，测试网站包括用户端的测试以及管理端的测试，保证网站的稳定运行。在测试网站时，测试人员必须站在用户的角度上看问题，对网站进行有计划、全面的测试。

6.2   测试内容

网站设计完成后，对网站进行的具体测试如下：

（1）功能测试：

链接测试：对于网站的功能链接进行测试，测试网站链接的各个页面可正常使用。

表单测试：对网站的表单进行测试，在用户的登录以及注册页面输入相应的信息，效果显示，系统检测成功，可进行登录操作[8]。

数据库测试：对于使用了数据库的部分进行测试，可调用到用户界面显示正确的信息。

（2）性能测试：

对网站进行连接速度的测试，测试结果显示，该网站运行速度较快，可在不同的浏览器打开，兼容性好。

（3）可用性测试：

导航测试：网站导航部分显示的内容准确，用户在导航功能上的操作顺畅，导航的样式风格与网站一致，各项菜单功能的实现达到要求。

图形测试：网站的文字、图片、颜色搭配得当。

整体界面测试：作为用户的身份在网站进行登录，使用过程舒适、快捷。

6.3   测试的结果

通过此次测试，得到如下反馈结果。前端部分：用户注册完信息后就可以登录，可以实现网站的各个功能。管理端部分：管理员登录后，可对班级的信息和数据进行修改和操作。网站的各功能均可正常使用，图片和界面构造美观大方，达到了预期的效果。

7   结论（Conclusion）

本网站的创建实现了以班级为单位的班级特色管理，其特色是围绕特定的集体进行信息管理，针对性强，学生们可以在网站上分享生活的点滴，进行日志的编写，查看关于本班的信息。该网站运用ASP.NET技术来设计，采用数据库对班级信息进行管理，展现班级特色，班级管理网站可以跨区域、跨班级使用，对学生和管理人员来说极具便捷性。该网站对于学校的班级管理具有一定的借鉴作用，可以促进班级管理工作的顺利开展，推动班级信息系统的建设，后期可对网站的各项功能进一步完善，使其内容更加丰富，进一步满足学生的个性化需求。

参考文献（References）

[1] 吴彦虹.计算机技术在高校教学管理中的应用[J].信息与电脑，2017（2）：255.

[2] 李勤.论文数字图书馆网站的设计与实现[J].数字技术与应用，2012（2）：177.

[3] 董云.利用计算机网络技术建立有效的教学管理方式[J].电脑迷，2016（2）：60-61.

[4] 尹志宇，郭晴.数据库原理与应用教程——SQL Server 2008[M].北京：清华大学出版社，2013：3.

[5] 李春葆，蒋林.ASP.NET 4.5动态网站设计教程——基于C#5.0+SQL Server2012[M].北京：清华大学出版社，2016：403-404.

[6] 江红，余青松.C#程序设计教程[M].北京：清华大学出版社，2010：2-3.

[7] 窦立君.基于.NET的班级日常工作管理系统设计与实现[J].电脑编程技巧与维护，2016（18）：46-47.

[8] 夏建明.基于ASP.NET的班级风采网站的设计[D].成都信息工程学院，2007：22.

作者简介：

吴春梅（1970-），女，本科，教授.研究领域：系统稳定性控制研究，计算机应用技术.

冯小静（1996-），女，本科生.研究领域：网络组建与安全，职业教育教学研究.

作者：吴春梅 冯小静

ASP网站设计安全性分析论文 篇2：

气象网站安全隐患及解决方法

摘要：随着互联网的飞速发展，气象网站也日益增多，网站安全已成为网站的首要问题。本文结合笔者ASP气象网站的开发经验，通过列举一些采用了ASP+Access/SQL Server构建气象网站的安全隐患，并提出了几种解决方法。

关键词：气象；网站；安全；ASP；隐患；方法

1 引言

随着互联网的飞速发展，气象网站也日益增多，网站安全已成为网站的首要问题。在网站数据库访问的多种技术中，ASP（Active Server Pages）以其开发周期短、存取数据库方便、执行效率高而成为众多网站程序员的首选开发技术。气象网站作为气象部门形象宣传和信息服务的窗口，其安全不容小视。本文结合笔者ASP气象网站的开发经验，通过列举一些采用了ASP+Access/SQL Server构建气象网站的安全隐患，并提出了几种解决方法。

2 网站安全现状

根据CNCERT/CC（国家互联网应急中心）统计报告显示，2011年中国境内被篡改网站数量累计为36612个，较2010年略增5.1%。由此可见，网站的攻击活动每年都在增长，我们在网站安全方面存在着重大的隐患。气象网站随着气象数据量的日益增大，网站安全也变得更加重要，网站安全问题解决不好随时都会被黑客攻击，导致网站数据被毁，造成难以估量的损失。

3 网站安全隐患及解决方法

3.1 ASP源代码的安全隐患

ASP程序采用了非编译性语言，很大程度上降低了源代码的安全性。但是，由于一些其他缺陷，比如操作系统、IIS（Internet Information Services）以及ASP系统自身的漏洞，却可能使ASP源码暴露无遗。黑客一旦侵入站点，就可以获得全部ASP源代码。

解决方法：及时更新操作系统补丁，使用高版本IIS程序和对ASP页面进行加密。建议使用工具对网站程序漏洞进行检测，对扫描出的漏洞及时进行修复，如使用360网站安全检测工具，就可以对气象网站进行漏洞检测、挂马检测和篡改检测。

3.2 程序设计中的安全隐患

ASP代码利用表单（form）实现与用户交互的功能，而相应的内容会反映在浏览器的地址栏中，如果不采用适当的安全措施，只要记下这些内容，就可以绕过验证直接进入某一页面。例如在浏览器中敲入“URL/show.a sp？x=1”，即可不经过表单页面直接进入满足“x=1”条件的页面。

解决方法：在验证或注册页面中，利用Session对象进行注册验证。

3.3 数据库隐患

数据库是网站的最核心部分，它的安全运行是保证整个气象网站正常运行的前提。常用的网站数据库是Access 和SQL Server，以下分别针对它们在ASP 运行环境下的安全技术进行分析。

3.3.1 Access数据库安全

3.3.1.1 数据库文件名和存放路径简单

如果入侵者获得或者猜到Access数据库的存储路径和数据库名，则该数据库就可以被下载到本地，而暴露帐号和密码。

解决方法：（1）非常规命名法。为Access数据库文件起一个复杂的非常规名字，并把它保存在更深目录下， 使入侵者很难猜测到Access文件名。例如，对于天气预报的数据库文件，不要简单地命名为“tqyb.mdb”，而是要起个非常规的名字，如faq19fxbdal.mdb，再把它放在如./akkjj16t/kjhgb661/fxj/avccx77之類的深层目录下。这样，对于一些通过猜的方式得到Access数据库文件名的非法访问方法起到了有效的阻止作用。（2）将数据库的扩展名更改为.asp、.asa等不影响数据库查询的名字，使得更改后的数据库无法通过浏览器直接下载，即使将数据库文件下载下来，打开后看到的也是乱码，对攻击者来说也是毫无用处的。（3）使用ODBC数据源。应尽量使用ODBC（Open Database Conectivity）即开放式数据库互联数据源，不要把数据库名直接写在程序中，否则，数据库名将随ASP源代码的失密而一同失密。（4）为数据库文件编码及加密。

3.3.2 SQL Server数据库安全

3.3.2.1 sa用户弱口令的安全隐患

不少网络管理员为数据库sa用户起了一些诸如1234，4321，123456等简单的密码，甚至根本就不设置密码，这样网络入侵者就可以利用一些黑客工具很轻松的扫描到sa的密码，进而控制服务器的管理权限，从而威胁网站数据的安全。

解决方法：为数据库sa用户设置数字和字母组成的高度复杂的密码，同时新建立一个与sa具有相同权限的超级用户来管理数据库，最好不要在数据库应用中直接使用sa帐号。

3.3.2.2 数据库远程管理的安全隐患

SQL数据库支持从远程进行数据库的维护，使用远程对于用户来说可能比较方便，但如果攻击者破解了SQL

（下转第119页）

作者：方晓斌　杨凤琼　胡朝彬　盛永昆

ASP网站设计安全性分析论文 篇3：

基于ASP网站开发的安全隐患与预防策略

摘要:ASP因其快速强大的开发能力而被广泛应用于网站开发中,通过对其工作原理的分析,从ASP页面设计、数据库及Web服务器等方面阐述了基于ASP网站开发的安全隐患,并提出相应的预防策略。

关键词:ASP;网站开发;安全隐患;预防策略

Security Risks and Prevention Strategies of Website Development Based on ASP

LIU Jie

(Suqian College, Suqian 223800, China)

Key words: ASP; Website development; security risks; prevention strategies

在众多的网站开发技术中,ASP以其学习简单、使用方便、存取数据方便、执行效率高而被广泛应用于网上银行、电子商务、BBS、网上查询与调查、搜索引擎等各种网络应用中。然而ASP在为我们网站开发带来便捷的同时,也带来了不容忽视的安全问题。

1 ASP工作原理

1) 用户在浏览器中键入ASP文件地址,然后回车完成ASP的申请。

2) 浏览器将ASP的请求发送到给Web服务器。

3) Web服务器接收申请并根据.ASP的后缀名判断这是ASP要求,然后从硬盘或内存中读取正确的ASP文件并将这个文件发送到ASP.DLL的特定文件中。

4) ASP文件将会从头至尾执行并根据命令要求生成相应的HTML文件。

5) HTML文件被送回浏览器,用户的浏览器解释这些HTML文件并将结果显示出来。

2 ASP在网站开发中的安全隐患与预防策略

2.1 后台管理页面验证被绕过

在程序开发过程中,后台管理页面是对内部人员或者网站管理人员开放的。例如现在多数管理信息系统都带有留言板模块,普通的用户只能发表和查看留言,只有管理员才能删除或修改一些留言,所以管理员在进入这些页面,都要经过一个身份验证,没有合法身份的用户是不得进入的。但对于安全性不强的系统,如果用户在知道相关页面路径的情况下,直接在地址栏中输人后台管理页面的地址就可以进人页面,那样的话,用户验证就只成了摆设。

预防策略:

为了避免这类情况发生,可以让后台管理页面跟踪上一个页面的文件名(一般是后台登录页面),只有从上一页面转进来的会话才能读取这个页面,这样就把后台登录页面与后台管理页面进行了绑定,只有通过了后台登录页面的合法身份验证的用户才能进入后台管理页面,其他方式的进入一概是不允许的。程序员在编程时能考虑到这点的话,入侵者就无法绕过用户验证了。

2.2 inc文件泄露问题

inc文件顾名思义是include file的意思,在网站设计时我们经常喜欢把一些常用的代码或配置信息,写在一个inc的文件中,这样可以减少很多重复的工作。可是这里面也有个安全隐患问题,例如当ASP主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地址和结构的细节,并以此揭示完整的源代码,如果你在inc文件写了重要的信息如用户密码之类的,那后果是不堪设想的。

预防策略:

1) 程序员应该在网页发布前对它进行彻底的调试。

2) 对inc文件进行配置,避免用户直接获取源文件。

3) 对inc文件内容进行加密,也可以使用ASP文件代替inc文件,使用户无法从浏览器直接观看文件的源代码,而且inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称,尽量使用无规则的英文字母。

2.3 Access数据库可能被下载

在使用Access做后台数据库时, 如果有人通过各种方法知道或者猜到了服务器中的Access数据库的路径和数据库名称, 则该数据库就可以被下载到本地。例如,数据库文件school.mdb存放在虚拟目录database下,在浏览器地址栏键入:http://serverurl/database/school.mdb,就可以下载此数据库文件了,如果数据库文件没有加密的话,所有数据都会泄露。

预防策略:

1) 非常规命名法。为Access 数据库文件起个复杂的非常规的名字,并把它放在多层目录下。例如,对保存学校信息的school.mdb数据库文件可以起个非常规的名称,比如aiolia2009abc.mdb,并把它存放在如sqc/welcome/you/的几层目录下。也可以将Access数据库的文件*.mdb 改名为*.asp,这样不会影响程序对数据库的正常访问,但当浏览者试图下载这些*.asp 文件时,浏览者将会碰到访问错误,数据库在浏览器以乱码显示。

2) 使用ODBC 数据。在ASP 程序设计中,应尽量使用ODBC 数据源,不要把数据库名直接写在程序中,否则,数据库名将随ASP 源代码的泄露而一同失密。例如:datapath=server.mappath("sqc/welcome/you/aiolia2009abc.mdb")

conn.open"driver={Microsoft access driver (*.mdb)};dbq="&datapath

可见,就算数据库名字再复杂,隐藏的目录再深,一旦ASP源代码失密后,数据库也很容易被下载。如果使用ODBC 数据源,即使失密,得到的也只是数据源的名字,例如:conn.open“ODBC-DSN 名”。

3) 对数据库文件进行加密。Office自带了文件加密功能,可以对Access文件进行加密,这样即使他人得到了数据库文件,没有密码也是无法看到数据库中的内容的。

4) 对敏感数据进行加密。由于Access 数据库文件的加密机制非常简单,即使数据库设置了密码,解密也很容易,例如使用暴力破解或第三方软件就可以轻松解密而得到密码。所以较好的对策是对敏感数据进行加密,如使用RSA或MD5加密算法。

2.4 SQL注入攻击

所谓SQL 注入, 就是利用某些Web 应用程序对用户输入数据的合法性检测不严或不检测的特点, 故意从客户端提交一段特殊的数据库查询代码, 根据程序返回的结果, 达到收集程序、数据库及服务器的信息, 获取想得到而通过正常途径无法得到的资料, 使整个网站服务器失控甚至对网站进行破坏性攻击的目的。例如,SQL语句进行用户密码验证时通常是通过一个类似下面这样的语句来实现的:SQL="Select * from 表 where username=+name+ and userpassword=+password+",上述语句来验证用户信息是合法有效的, 但存在安全隐患,此时用户只需要提交一个已知的的用户名,就可以用该用户身份登录,比如用户输入如下参数:

作者：刘 杰