在线考试系统的设计与实现 第11页

在线考试系统的设计与实现 第11页
 userid=rs("userid")
  username=rs("username")
  department=rs("department")
  office=rs("office")
  duties=rs("duties")
  post=rs("post")
  rank=rs("rank")
  ifadmin=rs("ifadmin")
  rs.close 
end if
if kind="A"  then
'如果用户想要以管理员身份进入
  if ifadmin=true then
  '如果用户拥有管理员权限
    Response.Cookies("userid")=userid
    Response.Cookies("username")=username
    Response.Cookies("pwd")=pwd
    Response.Cookies("department")=department
    Response.Cookies("office")=office
    Response.Cookies("duties")=duties
    Response.Cookies("POST")=post
    Response.Cookies("rank")=rank 
    Response.Cookies("ifadmin")=ifadmin
    response.redirect "admindefault.asp"
  else
  '如果用户没有管理员权限
    response.redirect "loginleftframe.asp?temp=nota"
    end if  
else
'如果用户想要以普通考生身份进入
    Response.Cookies("userid")=userid
    Response.Cookies("username")=username
    Response.Cookies("pwd")=pwd
    Response.Cookies("department")=department
    Response.Cookies("office")=office
    Response.Cookies("duties")=duties
    Response.Cookies("POST")=post
    Response.Cookies("rank")=rank 
    response.redirect "default.asp"
end if
4.4.2  IIS的安全性
IIS支持虚拟目录，通过在"服务器属性"对话框中的"目录"标签可以管理虚拟目录。建立虚拟目录对于管理WEB站点具有非常重要的意义，虚拟目录隐藏了有关站点目录结构的重要信息。因为在浏览器中，客户通过选择"查看源代码"，很容易就能获取页面的文件路径信息，如果在WEB页面中使用物理路径，将暴露有关站点目录的重要信息，这容易导致系统受到攻击。其次，只要两台机器具有相同的虚拟目录，你就可以在不对页面代码做任何改动的情况下，将WEB页面从一台机器上移到另一台机器。还有就是，当你将WEB页面放置于虚拟目录下后，你可以对目录设置不同的属性，如：Read、Excute、Script。读访问表示将目录内容从IIS传递到浏览器。而执行访问则可以使在该目录内执行可执行的文件。当你需要使用ASP时，就必须将你存放.asp文件的目录设置为"Excute（执行）"。建议大家在设置WEB站点时，将HTML文件同ASP文件分开放置在不同的目录下，然后将HTML子目录设置为"读"，将ASP子目录设置为"执行"，这不仅方便了对WEB的管理，而且最重要的提高了ASP程序的安全性，防止程序内容被客户所访问。
(1)使用IIS支持的虚拟目录
通过在IIS“服务器属性”对话框中的“目录”标签可以管理虚拟目录。虚拟目录隐藏了有关站点目录结构的重要信息。因为在浏览器中，客户通过选择“查看源代码”，很容易就能获取页面的文件路径信息，如果在Web页中使用物理路径，将暴露有关站点目录的重要信息，这容易导致系统受到攻击。其次，只要两台机器具有相同的虚拟目录，在不对页面代码做任何改动的情况下，将Web页面从一台机器上移到另一台机器。当将Web页面放置于虚拟目录下后，可以对目录设置不同的属性，如:Read，Excute。其中Read读访问表示将目录内容IIS传递到浏览器。而Excute执行访问则可以在该目录内执行可执行的文件。当需要使用ASP时，就必须将存放asp文件的目录设置为“Excute(执行)”。所以建议在设置Web站点时，将HTML文件同ASP文件分开放置在不同的目录下，然后将HTML子目录设置为“读”，将ASP子目录设置为“执行”，这不仅方便了对Web的管理，而且最重要的提高了ASP程序的安全性，防止了程序内容被客户所访问。
(2)尽量少开没有用到的服务和协议
这是网络安全的一个准则。特别是慎重安装点对点通道通讯协议。此外，还必须小心地配置TCP/IP协议[13]。在TCP/IP的属性页中选择“IP地址”项目，然后选择“高级”，在弹出来的对话框中选择“安全机制”。另外IIS中的应用程序映射也是个很大的安全漏洞，要在IIS中设置好扩展名和可执行路径，删除没用的扩展名。
4.4.3  SQL Sverver 2000的安全性
微软的SQL Server是一种广泛使用的数据库，很多电子商务网站、企业内部的信息化平台等都是基于SQL Server上的。大多数的系统管理员对数据库不熟悉而数据库管理员又对安全问题关心太少。数据库系统中存在的安全漏洞和不当的配置通常会造成严重的后果，而且都难以发现。数据库应用程序通常同操作系统的最高管理员密切相关。SQL Server数据库是属于“端口”型数据库，这就表示任何人都能用分析工具试图连接到数据库上，绕过操作系统的安全机制，闯入系统，破坏和窃取数据资料，甚至破坏整个系统。
在进行SQL Server2000数据库的安全配置前，首先必须对操作系统进行安全配置，保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件（程序）进行必要的安全审核，对于脚本主要是一个过滤问题，需要过滤一些类似的，； @ /等字符，防止破坏者构成恶意的SQL语句，接着，安装SQL Server2000后请打上补丁。下载的地址是：5 本章小结
通过前面的分析，本章解决了所有的困难，全面的对系统进行了设计，首先完成数据库方面的设计，以数据库为基础完成各方面功能模块的前台设计。最后进行了系统安全方面的考虑，参考了安全方面的情况，对主要出现安全问题的部分进行了特别的处理。

 << 上一页  [11] [12] [13] [14] [15] [16] [17] [18] 下一页

在线考试系统的设计与实现 第11页下载如图片无法显示或论文不完整，请联系qq752018766