季志江，龐曉楓，周廣漢

(浙江郵電職業(yè)技術學院，浙江 紹興 312016)

0 引言

隨著計算機和網(wǎng)絡技術的蓬勃發(fā)展，基于Web的信息系統(tǒng)應用越來越廣泛。而在高職院校中，作為檢驗學生知識和技能掌握情況的主要考核方式之一的紙質考試，由于其過程復雜、效率低下并且較易出錯，漸漸地不能適應高職院校發(fā)展的需要，而基于Web的網(wǎng)絡考試系統(tǒng)具有方便、靈活、節(jié)省成本、高效率等優(yōu)勢，使其在高職院校的應用中顯得越來越普遍。

1 系統(tǒng)架構

目前，考試系統(tǒng)的開發(fā)主要有基于C/S結構模式[1]和基于 B/S結構模式[2]或兩者相結合?；贑/S結構模式的考試系統(tǒng)雖然可以將很多事務讓客戶端去處理，以減輕服務器的壓力，但是由于需要為每個客戶機安裝一個客戶端程序，并且在日后的維護和升級中，還將重新安裝這個客戶端程序，因此，采用C/S結構模式的考試系統(tǒng)無疑將帶來超額的工作量及人工成本。從方便、靈活和減少升級維護的工作量角度看，這種模式在考試系統(tǒng)的開發(fā)中顯得有點不太適合。

從開發(fā)環(huán)境層面上講，在高職院校中，或多或少都建有計算機機房，而計算機上采用的操作系統(tǒng)又以Windows XP居多，并且，隨著信息化技術的不斷發(fā)展，學院一般都建有高效、穩(wěn)定的校園網(wǎng);從工作量層面講，教師需要授課、科研及社會服務，其工作量是比較大的。因此，基于高職院校的實際情況，考試系統(tǒng)開發(fā)采用B/S結構模式較為適宜，在該模式下，不用為每個客戶機安裝客戶端軟件，而是通過瀏覽器來訪問，學生考試只需通過Windows XP自帶的瀏覽器就能進行相應的考試操作，而后續(xù)的維護和升級工作也只需在一臺服務器上進行就可以了，所以它不僅提高了工作效率，還可以減少教師一部分的工作量，降低人工成本。

2 系統(tǒng)設計

2.1 功能模塊設計

考試系統(tǒng)的功能模塊主要包括登錄模塊、管理員模塊、教師模塊和學生模塊。登錄模塊是用于管理員、教師和學生3類用戶登錄考試系統(tǒng)的模塊，根據(jù)用戶輸入的賬號信息，系統(tǒng)自動與后臺數(shù)據(jù)庫進行賬號和密碼的比對，自動判斷用戶類別，比對成功后，直接登入該類用戶的模塊中。管理員模塊主要用于對用戶、班級、部門和課程進行管理，包括查詢、增加、更新和刪除等子功能。教師模塊主要包括試題庫管理、組卷(自動組卷和手動組卷)管理、試卷管理和閱卷(采用客觀題的自動閱卷與主觀題的后臺人工閱卷相結合的方式)管理、成績查詢等。學生模塊主要包括網(wǎng)絡考試功能和成績查詢功能，而網(wǎng)絡考試功能是該模塊的核心。網(wǎng)絡考試系統(tǒng)功能結構圖如圖1所示。

圖1 網(wǎng)絡考試系統(tǒng)功能結構圖

2.2 數(shù)據(jù)庫設計

存儲過程是一個SQL語句集合，用于完成特定的功能[3]，并可通過應用程序調用執(zhí)行。存儲過程執(zhí)行速度較一般SQL語句快，只需在創(chuàng)建的時候編譯一次[4]，后續(xù)的執(zhí)行均無需重新編譯;存儲過程與程序設計語言中的函數(shù)比較類似，可以被多次重復地調用，這樣將使得開發(fā)工作量得到相應的減少。鑒于上述優(yōu)點，網(wǎng)絡考試系統(tǒng)在數(shù)據(jù)庫中設計了相關的數(shù)據(jù)表(如表1填空題表)。

表1 填空題表

在對這些數(shù)據(jù)表進行讀寫操作的過程中，主要運用了存儲過程，如添加填空題的存儲過程如下所示:

該存儲過程的作用是通過參數(shù)傳遞直接在填空題表“FillQuestion”中插入一條記錄，隨著填空題數(shù)量的增加，該存儲過程經(jīng)常會被調用，而且可以被重復任意次地調用而無需再次編譯，因此，使用存儲過程不僅相當方便，而且還可以提高工作效率。

3 系統(tǒng)主要模塊實現(xiàn)及關鍵技術

3.1 ADO.NET 技術應用

考試系統(tǒng)的后臺數(shù)據(jù)庫，根據(jù)學院試題庫信息量的規(guī)模及需求，采用SQL Server 2005企業(yè)版。ADO.NET技術提供了與.NET框架的無縫集成[5]，通過該技術，可以比較方便地與數(shù)據(jù)庫建立連接，并進行相應的查詢、插入、修改、刪除數(shù)據(jù)操作[6]。本系統(tǒng)在操作數(shù)據(jù)庫之前，首先運用.NET Framework的SQL Server數(shù)據(jù)提供程序 System.Data.SqlClient.SqlConnection連接到SQL Server 2005，并將數(shù)據(jù)庫連接字符串保存于web.config中，在實際運用時，就可以在程序中通過 ConfigurationManager.AppSettings["ConnectionString"]來調用。在操作數(shù)據(jù)庫時，則采用Command對象之一的SqlCommand對象進行相應的操作，而數(shù)據(jù)庫中涉及的查詢操作主要運用ADO.NET的對象DataSet，它是較獨立的數(shù)據(jù)集合，更可以在關閉數(shù)據(jù)庫的情況下使用，并通過另一對象SqlDataAdapter來填充和更新相關的數(shù)據(jù)[7]。

3.2 AJAX技術應用

AJAX是一種創(chuàng)建交互式網(wǎng)頁應用的網(wǎng)頁開發(fā)技術[8]。在傳統(tǒng)的Web應用中，與服務器的交互通常是客戶端網(wǎng)頁先發(fā)送請求，然后等待服務器的響應，再由服務器返回一個新的網(wǎng)頁至客戶端[9]。但是，在這個與服務器交互的過程中，舊客戶端頁面與返回的新頁面之間通常有很多代碼是一樣的，這樣就對網(wǎng)絡資源造成了一定程度的浪費，從而導致用戶界面的響應時間也將有所延長，最終影響了用戶體驗。采用AJAX技術，在與服務器的交互中，服務器端無需取回和發(fā)送整個客戶端頁面的所有數(shù)據(jù)，而只需要取部分有用的數(shù)據(jù)即可[10]，這樣，與服務器之間的通信數(shù)據(jù)將會顯著地減少。在考試系統(tǒng)中，主要通過AJAX技術對登錄模塊和部分操作頁面進行優(yōu)化，采用UpdatePanel控件來實現(xiàn)頁面局部刷新[11]，而通過與服務器的異步數(shù)據(jù)交互，服務器數(shù)據(jù)一有更新，將動態(tài)地更新這部分數(shù)據(jù)至客戶端頁面。配合Script-Manager控件和UpdatePanel控件即可實現(xiàn)頁面異步局部刷新，其主要代碼如下所示:

3.3 系統(tǒng)主要模塊的實現(xiàn)

網(wǎng)絡考試系統(tǒng)中的主要模塊有出卷模塊、閱卷模塊、網(wǎng)絡在線考試模塊等，在此主要討論網(wǎng)絡在線考試模塊的設計，其工作流程如圖2所示。

圖2 網(wǎng)絡考試流程圖

網(wǎng)絡考試是由學生通過瀏覽器進行考試操作，在整個考試過程中，學生的交卷時間將會不一致，或提前手動通過提交按鈕交卷，或等考試時間結束由系統(tǒng)自動交卷。其工作流程由以下步驟組成:

第1步 學生在考試系統(tǒng)登錄界面輸入本人的賬號和密碼，輸入正確則轉到學生功能子系統(tǒng)，否則根據(jù)系統(tǒng)的提示信息重新輸入;

第2步 選擇試卷，準備考試;

第3步 點擊“開始”按鈕后開始考試，同時，考試倒計時自動啟動;

第4步 如果學生通過“提交”按鈕提交試卷，則結束考試，否則繼續(xù)考試;

第5步 如果考試倒計時歸零，系統(tǒng)自動交卷，則結束考試，否則返回到第4步。

在設計網(wǎng)絡考試模塊時，系統(tǒng)根據(jù)先前生成的試卷將各個類型的試題展示在學生的瀏覽器上，因為每份試卷的題型可能會不一致，所以在取試題的時候要進行相應的判斷，以下是取論述題時的主要代碼:

4 系統(tǒng)安全性

安全性對于一個應用程序來講相當重要，當前五花八門的計算機病毒與黑客的威脅[12]，使得考試系統(tǒng)本身的設計及運行環(huán)境須具有比較高的安全性。網(wǎng)絡考試系統(tǒng)的設計與運行，需要考慮的安全性因素主要有:操作系統(tǒng)環(huán)境的安全性、數(shù)據(jù)庫連接字符串的安全性及防范SQL注入攻擊等。

4.1 操作系統(tǒng)環(huán)境的安全性

網(wǎng)絡考試系統(tǒng)同其它應用軟件一樣，同樣運行在操作系統(tǒng)環(huán)境中，而操作系統(tǒng)的安全將是網(wǎng)絡考試系統(tǒng)安全、穩(wěn)定運行的前提和保證。因此，在操作系統(tǒng)環(huán)境安全性上，可以選擇安裝一款殺毒軟件，并開啟防火墻，進行相應的設置，還要定時檢查和更新操作系統(tǒng)的所有安全漏洞補丁，以避免或減少黑客、病毒的侵害。

4.2 數(shù)據(jù)庫連接字符串的安全性

在網(wǎng)絡考試系統(tǒng)的實際使用中，經(jīng)常需要操作數(shù)據(jù)庫，如添加班級、修改密碼或者刪除過時或不需要的數(shù)據(jù)等，在進行各種操作之前，首先需要和數(shù)據(jù)庫進行連接，其連接字符串是存放在web.config文件中，而該文件的內容是直接可以用肉眼看到的，這就為網(wǎng)絡考試系統(tǒng)的安全帶來了一定程度的威脅，因此，通過Aspnet_regiis.exe注冊工具并配合相應的參數(shù)來加密文件中的數(shù)據(jù)庫連接字符串所在的配置節(jié)，將可以有效地提高其安全性。

數(shù)據(jù)庫連接字符串加密前代碼如下所示:

數(shù)據(jù)庫連接字符串加密后的代碼效果如圖3所示:

圖3 數(shù)據(jù)庫連接字符串加密后的效果

4.3 SQL注入攻擊的防范

SQL注入攻擊是一種非法將SQL代碼添加到用戶輸入或頁面查詢中，從而篡改或破壞數(shù)據(jù)庫的攻擊[13]，其攻擊手段多種多樣，但通常采用的攻擊方法是通過SQL代碼插入到用戶的輸入中，如 SQL語句:"SELECT*FROM Users WHERE username='"+name+"';"[14]，在正常的情況下，其作用是查詢某個用戶的數(shù)據(jù)信息，但如果用戶名“name”被改成nam'or'e'='e'，這樣語句中的條件'e'='e'永遠成立，就失去了條件判斷的意義，從而也得不到預期的結果了。因此，防范SQL注入攻擊，具有實質性的意義。在程序設計和使用過程中，應盡量使用參數(shù)化語句或使用存儲過程，還應定期檢查用戶提交的數(shù)據(jù)是否有異常等。

5 結束語

基于B/S結構模式的高職院校網(wǎng)絡考試系統(tǒng)不僅可以為教師和學生提供考試的便利，而且也切實減少了教師的部分工作量，從而提高了工作的效率。本系統(tǒng)在開發(fā)時，根據(jù)實際需要采用合適的開發(fā)技術，同時還植入系統(tǒng)后續(xù)運行和維護的安全性理念。本系統(tǒng)在某些功能上還不夠完善，如網(wǎng)絡考試界面的可視化效果不夠完美、自動出卷功能還不夠智能化，需要再逐步擴展，以切實適應高職院校的發(fā)展需要。

[1]百度百科.C/S[EB/OL].http://baike.baidu.com/view/45170.htm，2006-04-29.

[2]百度百科.B/S[EB/OL].http://baike.baidu.com/view/679018.htm?=ala0_1，2006-06-09.

[3]Buck Woody.Administrator’s Guide to SQL Server 2005[M].Pearsona Education，Inc.，2006.

[4]李瓊漢.淺談存儲過程在科研管理系統(tǒng)中的應用[J].電腦知識與技術，2012，8(2):464-466，468.

[5]謝新屋，彭新導.基于ADO.NET的數(shù)據(jù)庫訪問技術研究[J].信息與電腦:理論版，2012(7):89-90.

[6]鐘紅春，房大偉，管小清，等.ASP.NET2.0程序設計教程[M].北京:人民郵電出版社，2009.

[7]劉寶娥.利用ADO.NET技術開發(fā)SQL Server數(shù)據(jù)庫的相關研究[J].赤峰學院學報:自然科學版，2012(3):46-47.

[8]王杰瑞，賓晟，張琴.最新 ASP.NET+SQL Server項目開發(fā)全程實錄[M].北京:科學出版社，2009:376-377.

[9]嚴杰.淺析瀏覽器端開發(fā)技術Ajax[J].浙江旅游職業(yè)學院學報，2007(2):40-44，53.

[10]仇明.基于Ajax的在線考試系統(tǒng)的研究與實現(xiàn)[J].長沙大學學報，2010，24(5):73-74.

[11]俸學文，付強.基于.NET的Ajax技術研究及應用[J].計算機與信息技術，2012(3):50-52.

[12]李廣潤.淺析計算機系統(tǒng)安全[J].吉林省教育學院學報:下旬，2012(6):153-154.

[13]陳志輝，吳敏敏.基于ASP.NET網(wǎng)站防范SQL注入的網(wǎng)絡安全技術分析[J].赤峰學院學報:自然科學版，2012，28(13):17-19.

[14]明日科技，張躍廷，房大偉，等.ASP.NET范例完全自學手冊[M].北京:人民郵電出版社，2009.