论文导读::平台的优势。并对教师的信息实施网上管理与查询。但现在使用的教师信息管理系统。并通过Internet/Intranet模式下数据库应用。
论文关键词:.NET,教师,信息管理,数据库
目前,伴随网络的普及和发展,各院校都建立了自己的局域网,并对教师的信息实施网上管理与查询。但现在使用的教师信息管理系统,通常只记录教师的基本信息,而对教师的科研成果,如学术论文和研究报告等信息,没有存储到计算机中,这使得信息查询效率很低,安全保密性和长期保存性都很差。因此,开发一种通用、高效的信息管理系统,便显得尤为迫切。基于.NET技术的教师信息管理系统就是在这种需求基础上开发实现的。
1 .NET平台的优势
.NET Framework是微软最新的程序设计开发平台,有CLR(Common Language Runtime)和.NET Framework类组成。主要优点是具有跨语言、跨平台、安全,以及对开放互联网标准和协议的支持;能支持多种语言的互操作数据库,即在一种语言下开发的组件,可在另一组件下通过面向对象的继承而得以重用。.NET通过将语言先编译成中间程序语言,然后执行时CLR调用JIT(Just In Time)编译器将之编译成本地平台代码来实现异构平台下对象的互操作。.NET通过对HTTP,XML等Internet标准的支持提供在异构网络环境下获取远程服务,连接远程设备,交互远程应用的编程界面,增强了应用程序开发的灵活性。
2 教师管理系统设计及功能
教师信息管理系统是专门针对院校教学管理部门工作而开发的,主要对教师信息管理工作中的各种事务进行管理,包括教师基本信息、教材编写、获奖情况、进修代职、科研任务完成情况、授课工作量计算及各种统计报表等,对教师完成的各项工作进行公平的系统评价,为管理部门对教师的晋升晋职、评功评奖及时提供准确可靠的依据。
2.1 系统设计模式
系统采取了B/S设计模式。B/S(Browser/Server)模式即浏览器和服务器结构。它是随着Internet技术的兴起,对C/S结构的一种改进的结构。在这种结构下,用户工作界面是通过浏览器来实现,主要事务逻辑在服务器端(Server)实现,只有极少部分事务逻辑在浏览器端(Browser)实现。这样就大大简化了客户端电脑载荷,减轻了系统维护与升级的成本和工作量。以目前的技术看,局域网建立B/S结构的网络应用,并通过Internet/Intranet模式下数据库应用,相对易于把握,成本也是较低的。
B/S模式支持跨平台管理,不论是什么平台,只要装有Web浏览器即可,客户端无需安装和维护软件,并且可以通过校园网实时监控和管理,支持Internet组网方式。B/S模式系统应用比较广泛,是今后开发软件的主流。
本系统开发基于Microsoft .NET Framework 3.0框架,采用微软C#语言,后台数据库使用SQL Server 2005。
2.2 系统功能设计
系统采用模块化设计数据库,将整个系统分为用户管理、档案管理、数据统计、数据查询和佐证材料管理等模块。
(1)用户管理模块
完成用户注册和用户角色的设置。用户注册时,除了提供用户名、密码等基本信息外,还要提供用户真实的姓名。管理员可以设置用户的角色,角色主要分为普通用户、部(系)用户、院(校)用户。普通用户可以实现个人信息添加、修改、删除及查询;部(系)用户能对所属单位人员的信息进行审核、统计及查询;院(校)用户可以对整个院(校)信息进行统计及查询。
(2)档案管理模块
普通用户登录系统后,通过自己的终端可以输入、修改、删除、查询自己的基本情况、工作简历、任课情况、教材出版、专著出版、教学研究、科研工作、学术论文、教学奖惩、进修培训、交流代职、外派讲学、外出调研及参加学术团体等信息。各种信息有4种状态:录入中、待审核、通过审核、未通过审核。系统检查必要的项目内容输入后,状态由录入中转到待审核,由管理部门(部、系用户)审核。
(3)数据统计模块
主要由院校、部(系)用户查询统计所属单位的职称、学历和年龄段人数分布情况,以及授课工作量、教材出版、专著出版、教学研究、科研工作、学术论文等的数量及其详细的信息。
(4)信息查询模块
院校、部(系)用户可以查询所属单位个人基本情况、进修(培训)情况、代职情况、任课情况、科研工作、学术论文、教材(专著)出版、教学奖励、学期更新情况等信息;普通用户只能查询本人的信息。
(5)佐证材料管理模块
实现与个人相关的学历、学位证书、各类获奖证书、出版教材(专著)、发表论文等扫描件的上传与管理功能。
2.3数据库设计
数据库设计环境是SQL Server 2005,根据系统的需求分析,主要设计的数据表有:单位表、教师基本信息表、工作简历表、授课情况表、学术论文表、科研成果表、教材(专著)出版信息表、奖惩情况表、进修(培训)情况表、交流代职表等。教师基本信息表通过外键与单位表关联,其他各表通过外键与教师基本信息表关联,实现管理人员对数据的加工、管理、集成等的全部功能,以及个人信息的查询、打印等功能。系统使用.NET平台上的ADO.NET技术访问数据库系统,对于ASP.NET程序而言,ADO.NET的主要功能是存取数据库系统。在ASP.NET实际使用ADO.NET时,需要导入新的命名空间System.Data.SqlClient,以便和SQL服务器连接,并使用SqlConnection、SqlCommand、SqlDataReader等对象,来完成对数据库的操作。
3 网络数据库的安全对策
在教师管理系统的模型中采用了网络技术,由于网络的共享性和复杂性,其所面临的安全问题也日益突出。因此,在设计时还应该考虑网络安全问题,主要是与涉密数据有关的信息安全问题,本系统主要从以下四个方面来提升系统的安全级别。
3.1 不使用默认的数据库管理账号
对于SQL Server数据库不要使用默认的数据库管理账号sa,可根据不同的使用需求,建立新的数据库管理账号,同时删除预设的管理账号。
另外,数据库中不需要的数据表数据库,如范例数据表或不需要的系统数据表,最好都删除,也尽量避免在网页中涉及管理账号或密码。
3.2 实现连接监控
网络入侵者必须与SQL Server数据库建立连接,才能盗取数据信息,所以监控连接是保证数据库安全的一个好方法。对于一个运行中的SQL Server,建立的连接可能很多,但是监控那些失败了的连接确有必要,因为它们可能代表企图进入系统的一些尝试。通过下述方式,可将失败的连接记录下来:右击服务器,选择属性;点击安全标签,在“审核级别”之下选择“失败”;停止和重新启动服务器。
3.3防止SQL注入式攻击
要防范SQL注入式攻击,其实就是要禁止用户输入危险的字符,或者让用户输入的危险字符不起作用。系统联合采用了以下方法,确保用户登录安全可靠。
⑴利用正则表达式限制可输入的内容。要求用户必须输入合法的字符,不允许输入单引号、空格、OR等危险字符。
例如,在登录页面中,插入正则表达式验证控件,将验证表达式属性设置为:ValidationExpression='^[a-zA-Z0-9]{1,10}$',那么,这个正则表达式被用于限定输入的内容为字母(允许大、小写字母)和数字,此外,输入的字符长度不能超过10个字符,脱字符(^)表示匹配字符串开始符,美元符号($)表示匹配字符串的结束符。
⑵在服务器和客户端都进行验证。在客户端,攻击者完全有可能获得网页的源代码,修改验证合法性的脚本,然后将非法摘要保证验证操作确实已经执行,必须在服务器端也执行验证数据库,以弥补客户端验证机制脆弱的安全性。
⑶使用参数连接数据库。在程序中连接数据库时不直接使用SQL连接字符串,而是使用含有参数的SQL语句,如果是SQL Server数据库,还可以使用存储过程,这样,用户输入的值将作为参数传进去,使输入的危险字符无法发挥作用。
3.4 限制上传文件的类型
上传文件时,限制文件的扩展名。如果上传图片文件,设置只能上传扩展名为.jpg或.gif等类型的文件,拒绝上传扩展名为.asp、.aspx或.exe等类型的文件。代码如下:
string ext = System.IO.Path.GetExtension(FileUpload1.FileName).ToLower();
if (ext == '.jpg' || ext == '.gif'){
FileUpload1.PostedFile.SaveAs(Server.MapPath('~/')+ FileUpload1.FileName);
}
else
response.Write('<script language=JavaScript>alert('上传图片出现错误。文件类型只能是.jpg或.gif格式的图片。')</script>');
目前,教师管理系统已投入使用,并取得了良好的效益,促进了教学管理水平的提高,方便教师的量化考核,提高了工作效率,降低了管理成本。随着系统使用进程的延伸,对不足之处将做进一步完善,使系统更加安全、稳定、可靠。
参考文献
[1][美]David Sceppa.梁超 张莉 贺堃译.ADO.NET技术内幕[M].北京:清华大学出版社,2003.
[2]张燕.基于网络的科研管理系统的设计[J].计算机科学,2006(11).
[3]曹建英.ASP.NET的安全性及其实现的策略[J].温州师范学院学报,2005(2).
|
