盤錦職業(yè)技術(shù)學(xué)院 張?zhí)煺?/p>

網(wǎng)絡(luò)技術(shù)不斷成熟和發(fā)展，促進了基于網(wǎng)絡(luò)技術(shù)的網(wǎng)站的發(fā)展。網(wǎng)站開發(fā)是一項很復(fù)雜的工作，我校根據(jù)學(xué)校實際，確定網(wǎng)站的定位和需求，從軟件工程的角度出發(fā)，針對學(xué)校網(wǎng)站建設(shè)的特點和重點，整理出一套適合學(xué)校網(wǎng)站建設(shè)管理和控制的方法，以此來保證網(wǎng)站建設(shè)的高效率、高質(zhì)量。

一、基于ASP的動態(tài)網(wǎng)站建設(shè)概述

(一)動態(tài)的概念

所謂動態(tài)，并不是指那兒個放在網(wǎng)頁上的GIF動態(tài)圖片，在這里是為動態(tài)頁面的概念制定了以下兒條規(guī)則：

1.交互性，即網(wǎng)頁會根據(jù)用戶的要求和選擇而動態(tài)改變和響應(yīng)，將瀏覽器作為客戶端界面，這將是今后WEB發(fā)展的大勢所趨。

2.自動更新，即無須手動地更新HTML文檔，便會自動生成新的頁面，可以大大節(jié)省工作量。

3.因時因人而變，即當(dāng)不同的時問、不同的人訪問同一網(wǎng)址時會產(chǎn)生不同的頁面。

(二)ASP的概念及特點

Microsoft Active Server Pages即我們所稱的ASP，其實是一套微軟開發(fā)的服務(wù)器端腳本環(huán)境，ASP內(nèi)含于IIS3.0和4.0之中，通過ASP我們可以結(jié)合HTML網(wǎng)頁，ASP指令和ActiveX元件建立動態(tài)、交互、高效的WEB服務(wù)器應(yīng)用程序。有了ASP你就不必擔(dān)心客戶的瀏覽器是否能運行你所編寫的代碼，因為所有的程序都將在服務(wù)器端執(zhí)行，包括所有嵌在普通HTML中的腳本程序。當(dāng)程序執(zhí)行完畢后，服務(wù)器僅將執(zhí)行的結(jié)果返回給客戶瀏覽器，這樣也就減輕了客戶端瀏覽器的負擔(dān)，大大提高了交互的速度。以下羅列了Active Server Pages所獨具的一些特點：

1.使用VBScript JScript等簡單易懂的腳本語言，結(jié)合HTML代碼，即可快速地完成網(wǎng)站的應(yīng)用程序。

2.無須Compile編譯，容易編寫，可在服務(wù)器端直接執(zhí)行。

3.使用普通的文本編輯器，如Window、的記事本，即可進行編輯設(shè)計。

4.與瀏覽器無關(guān)(Br+wser In＜lepen＜lenoe)，用戶端只要使用可執(zhí)行HTML碼的瀏覽器，即可瀏覽Active Server Pages所設(shè)計的網(wǎng)頁內(nèi)容。Active Server Pages所使用的腳本語言(VBSoript Jsoript)均在WEB服務(wù)器端執(zhí)行，用戶端的瀏覽器不需要能夠執(zhí)行這些腳本語言。

5.Active Server Pages能與任何AotiveX scripting語言相容。除了可使用V BSoript或JSoript語言來設(shè)計外，還通過plug-in的方式，使用由第三方所提供的其他腳本語言，譬如REXX，Perl，Tol等。腳本引擎是處理腳本程序的COM(Component Object Model)物件。

6.Active Server Pages的源程序，不會被傳到客戶瀏覽器，因而可以避免所寫的源程序被他人票J竊，也提高了程序的安全性。

7.可使用服務(wù)器端的腳本來產(chǎn)生客戶端的腳本。

8.物件導(dǎo)向(Obje＜，一(＞riented)。

9.AotiveX Server Components(AotiveX服務(wù)器元件)具有無限可擴充性?？梢允褂肰isual Basic，Java VisualC++，Cobol等編程語言來編寫你所需要的AotiveX Server Component。

二、ASP程序設(shè)計安全技術(shù)

Asp程序設(shè)計的安全主要涉及三個方面：Asp源代碼的安全、Asp程序設(shè)計的安全和數(shù)據(jù)庫安全。

(一)ASP源代碼的安全

1.保證ASP源碼的安全的主要技術(shù)是Asp腳本加密技術(shù)。常用方法有兩種：一是ASP2DLL技術(shù)。其基本思想是利用VB6.0提供的Activexdll對象將Asp代碼進行封裝，編譯為DLL文件，在Asp程序中調(diào)用該DLL文件。二是利用微軟提供的Script Encoder加密軟件對Asp頁面進行加密。

2.置合適的腳本映射。應(yīng)用程序的腳本映射保證了Web服務(wù)器不會意外地下載Asp文件的源代碼，但不安全或有錯誤的腳本映射易導(dǎo)致Asp源代碼泄漏。因此，應(yīng)將用不到的有一定危險性的腳本映射刪掉（如*.htr文件及*.htw，*.ida，*.idq等索引文件）。

(二)程序設(shè)計中的安全

1.用戶名、口令機制。用戶名、口令是最基本的安全技術(shù)，在Asp中常采用Form表單提交用戶輸入的帳號和密碼，與用戶標識數(shù)據(jù)庫中相應(yīng)的字段進行匹配，在必要的場合可以使用MD5算法來加密用戶輸入的密碼，可以保證在線路被竊聽的情況下依然保證數(shù)據(jù)的安全，保護用戶口令的安全。

2.注冊驗證。為了網(wǎng)站資源的安全性和易于管理，可以對用戶進行分級，給定權(quán)限，使特定用戶訪問特定的資源群，也可以阻止未授權(quán)用戶使用網(wǎng)站的資源，這就需要對用戶進行注冊驗證操作。在ASP中，我們可以利用Session對象和Http頭信息來實現(xiàn)此類安全控制。當(dāng)訪問者通過身份驗證頁面后，就把Session對象的Sessionid屬性作為一個Session變量存儲起來，當(dāng)訪問者試圖導(dǎo)航到一種有效鏈接的頁面時，可將當(dāng)前的Sessionid與存儲在Session對象中的ID進行比較，如果不匹配，則拒絕訪問。如在Session（“id”）中保存著第一次鏈接的Sessionid，＜%if session.sessionid＜＞session(“id”)then response.end%＞’拒絕訪問。

3.網(wǎng)頁過期管理?？紤]到有可能用戶在使用網(wǎng)頁的過程中，有可能會長時間離開計算機處理別的事情，這樣會給別有用心的人有可乘之機，所以應(yīng)該給網(wǎng)頁一個過期時間。這樣不僅保證了用戶的安全，也可以減少服務(wù)器的鏈接數(shù)，減少服務(wù)器壓力。可以使用session.timeout=時間，過了這么長時間網(wǎng)頁就失效了，前提是你用一個session值來判斷登錄狀態(tài)如session.timeout=20。

三、基于ASP的動態(tài)網(wǎng)站設(shè)計開發(fā)過程

(一)系統(tǒng)分析階段

建立一個網(wǎng)站，首要明確設(shè)計思想，編寫一份詳盡的需求說明書，這是網(wǎng)站建設(shè)成功的關(guān)鍵所在。

根據(jù)各方面的反饋意見進行認真的分析，對網(wǎng)站設(shè)計進行準確定位：網(wǎng)站規(guī)劃要著重考慮顧客的需求；內(nèi)容上要以工作內(nèi)容為主，同時也要為訪問者提供其所關(guān)心的內(nèi)容；內(nèi)容要求及時更新；版面要求新穎有特色，同時還要增強網(wǎng)站的方便性、整體性和安全性。

(二)系統(tǒng)設(shè)計階段

1.網(wǎng)站總體設(shè)計

網(wǎng)站設(shè)計有了一份詳盡的需求說明書后，就可以根據(jù)需求說明書，對網(wǎng)站進行總體規(guī)劃，給出一份網(wǎng)站總體建設(shè)方案。總體規(guī)劃具體要明確網(wǎng)站需要實現(xiàn)的目的和目標；網(wǎng)站形象說明；網(wǎng)站的欄目版塊和結(jié)構(gòu)；網(wǎng)站內(nèi)容的安排，相互鏈接關(guān)系；使用軟件、硬件和技術(shù)分析說明；開發(fā)時間進度表；維護方案；制作費用；需要遵循的規(guī)則和標準有哪些等。

2.網(wǎng)站詳細設(shè)計

總體設(shè)計階段以比較抽象概括的方式提出解決問題的辦法，具體設(shè)計階段的任務(wù)就是把解決方法具體化、明確化，設(shè)計中應(yīng)注意的問題有：

(1)網(wǎng)站設(shè)計的風(fēng)格定位。網(wǎng)站要有自己的特色，設(shè)計中不要太多地考慮技術(shù)問題，而應(yīng)該更多地考慮不斷增加網(wǎng)站的內(nèi)涵，要在能夠動態(tài)反映情況的內(nèi)容上下功夫。

(2)網(wǎng)站設(shè)計的整體性。網(wǎng)站設(shè)計，注意考慮網(wǎng)站的易維護性，技術(shù)上多采用CSS、模板等，對網(wǎng)站的整體風(fēng)格進行定位，方便日常維護與更新。

(3)關(guān)鍵技術(shù)的研究及應(yīng)用。網(wǎng)站設(shè)計中，怎樣防黑，保護網(wǎng)站內(nèi)容不被別人竊取、修改是網(wǎng)站建設(shè)必須考慮的技術(shù)性問題。主要從IIS、ASP和Access三方面來總結(jié)網(wǎng)站系統(tǒng)面臨的常見的安全威脅及解決方法。

①集中管理ASP的目錄，設(shè)置訪問權(quán)限。在設(shè)置WEB站點時，將HTMI文件同ASP文件分開放置在不同的目錄下，然后將HTML子目錄設(shè)置為“讀”；將ASP子目錄設(shè)置為“執(zhí)行”。

②對IIS中的特殊Web目錄禁止匿名訪問并限制IP地址。對IIS中的sample、scripts、iisadmin等web目錄，通過各目錄屬性對話框中的“目錄安全性”標簽設(shè)置為禁止匿名訪問并限制IP地址，并用NTFS的特性設(shè)置詳細的安全權(quán)限，除了Administrator，其它帳號都應(yīng)該設(shè)置為只讀權(quán)限。

③防止Access數(shù)據(jù)庫被下載。有效地防止數(shù)據(jù)庫被下載的方法有：非常規(guī)命名法：為Access數(shù)據(jù)庫文件取一個復(fù)雜的非常規(guī)名字，并把它放在幾層目錄下；使用ODBC數(shù)據(jù)源：在ASP程序設(shè)計中，如果有條件，應(yīng)盡量使用ODBC數(shù)據(jù)源，不要把數(shù)據(jù)庫名寫在程序中。

④進行數(shù)據(jù)備份。運用FSO組件對Access數(shù)據(jù)庫進行備份，以便在數(shù)據(jù)被破壞時進行快速恢復(fù)，盡可能多地挽回損失。

⑤對ASP頁面進行加密。為了有效地防止ASP源代碼泄露，可以對ASP頁面進行加密。加密的方法一般有兩種：一是使用組件技術(shù)將編程邏輯封裝入DLL之中；二是使用微軟的Script Encoder對ASP頁面進行加密。

⑥后臺用戶注冊驗證。為了防止后臺用戶未經(jīng)注冊的用戶繞過注冊界面直接進入應(yīng)用系統(tǒng)，我們采用Session對象進行注冊驗證：

(三)網(wǎng)站測試

有了網(wǎng)站的具體設(shè)計方案，各網(wǎng)站制作人員就可以全力進入開發(fā)階段。盡量采用邊制作邊調(diào)試，即采用本機調(diào)試和上傳服務(wù)器調(diào)試的方法，觀察速度、兼容性、交互性等。

在整個設(shè)計網(wǎng)站的過程中，重視網(wǎng)站的“規(guī)劃—設(shè)計—管理—發(fā)展”的規(guī)律，實現(xiàn)可持續(xù)性發(fā)展。動態(tài)網(wǎng)站設(shè)計與實現(xiàn)是目前網(wǎng)頁設(shè)計的主流和時尚技術(shù)。其基本技術(shù)由基于客戶端的編程和基于服務(wù)器端的編程兩部分組成?？蛻舳说木幊陶Z言一般：是采用Javascript腳本語言。而采用VBScript腳本語言結(jié)合ASP技術(shù)(Active Server Pages)來開發(fā)服務(wù)器端的內(nèi)容，可以很好地實現(xiàn)網(wǎng)站網(wǎng)頁豐富的動態(tài)效果。

[1]防范ASP木馬的十大基本原則[J].計算機與網(wǎng)絡(luò),2006,1.

[2]侯占偉,翟海霞.ASP代碼廈網(wǎng)站安全的探討[J].焦作大學(xué)學(xué)報,2005,4.

[3]袁志芳,田曉芳,李桂寶.ASP程序設(shè)計與WEB信息安全[J].中國教育信息化,2007,21.