【摘要】论述了使用ASP+ACCESS技术制作高校新闻专栏系统的设计思想,主要包括专栏网站的整体建设流程、系统的总体设计、系统安全权限问题、新闻专栏系统的实践等相关内容,解决了快速制作专栏系统的问题。
论文关键词:ASP,新闻专栏,权限
随着高校信息化的普及与发展,越来越多的高校都开始重视网站的建设,其中,新闻专栏由于其主题明确、内容丰富以及吸引了很大一批网上用户。因此,每一年都会有很多的新闻专栏或者其它的重要事件需要发布,如果每一个新闻专栏都需要重新设计制作会浪费很多的时间,同时也是一个重复性的工作。
该系统提供了一个通用的新闻专栏网站平台,用户只需要设计新闻专栏的页面,然后调用ASP模块固定代码,就可以正常发布一个新闻专栏了,提高了工作效率。
目前高校新闻专栏系统的主要问题:
(1)不能实现多用户的新闻提交,所有的新闻都得交到管理员发布。
(2)新闻管理中没有审核功能,
(3)安全性不是特别好,有些时候会受到攻击。
以上存在的问题将在下面的设计和实现技术当中解决。
1系统的总体设计
该系统充分利用网络资源,发挥B/S模式的WEB应用程序,在功能和框架上进行了反复实践和修改,以满足高校新闻专栏系统的设计,主要特点是:
(1)采用了模块化的B/S体系架构,易于维护和扩展
(2)使用了四种安全方法,保证新闻专栏系统的安全性。
(3)界面美观,功能全面,使用了所见即所得的编辑器,提高了工作效率。
1.1运行环境
该系统采用了比较常用的MicrosoftWindows2003 Server 系统平台 ,IIS6.0 WEB服务器,ACCESSE数据库,方便维护与发布。
1.1.1 IIS6.0和IIS5.0 对比:
(1) 应用程序池: IIS6可以将单个的 Web 应用程序或多个站点分隔到一个独立的进程(称为应用程序池). 应用程序池以独立进程的方式极大的提高了Web服务器的安全和稳定性.该进程与操作系统内核直接通信。
(2) IIS6.0 还提供状态监视功能以发现、恢复和防止 Web 应用程序故障。
(3) 集成的 .NET 框架(DOTNET)
Microsoft .NET 框架是用于生成、部署和运行 Web 应用程序、智能客户应用程序和 XML Web 服务的 Microsoft .NET 连接的软件和技术的编程模型,这些应用程序和服务使用标准协议(例如 SOAP、XML 和 HTTP)在网络上以编程的方式公开它们的功能。
(4) 连接并发数,网络流量等监控 这样可以使不同网站完全独立开. 不会因为某一个网站的问题 而影响到其他网站.
(5) IIS6.0 提供了更好的安全性 通过将运行用户和系统用户分离的方式. IIS服务运行权限和 Web应用程序权限 分开,保证 web应用的足够安全.这些是其他Web服务器 所欠缺的。
1.2功能设计
新闻专栏发布模块:这是主要是对文字、图片、视频、附件等进行编辑和处理,并可通过所见即所得的编辑器,对以上内容进行排版,最终以网页的形式发布在专栏上。
新闻专栏审核模块:对于高校的各个部门或者院系投放的稿件进行审核编辑,同时对不满足条件的稿件进行处理。
新闻专栏管理模块:对于分类的新闻进行修改、删除、移动等功能。
图片专栏发布模块:管理首页的图片新闻和滚动
权限专栏管理模块:对于不同的部门或者院系,分配不同的帐号登录系统,方便各个部门或者院系投放稿件。
1.3程序设计
根据多次实施新闻专栏系统的经验,吸收了其他新闻专栏系统的特点,制作了新闻专栏系统。设计中的关键技术和算法如下:
1.3.1数据库连接
考虑到实用性和方便性的优点,我们使用了ACCESS,连接的代码如下:
<%
On Error Resume Next ‘如果连接有错误,直接报错,而不是提示看不懂的代码。
dim conn
dim connstr
dim db
db='POPdata/ccccData.mdb'’连接的数据的位置
Set conn = Server.CreateObject('ADODB.Connection')
connstr='Provider=Microsoft.Jet.OLEDB.4.0;Data Source=' & Server.MapPath(''&db&'')
conn.Open connstr’
If Err Then
Err.Clear
Set conn = Nothing
Response.Write '数据库连接文件出错,请联系管理员。'
Response.End
End If
%>
1.3.2 ACCESS在IIS下安全设置
为了防止SQL数据库被下载使用,随便制作一个0字节的DLL文件 ,用来映射MDB文件,这样子无论MDB文件是什么名字都不会被下载,在IIS里设置应用程序映射.这样直接输入数据库地址访问时将提示HTTP 404错误,提示“文件或目录未找到”,使用下载工具也无法下载,保证了ACCESS数据库的安全。
2主要功能实现技术
通过系统结婚的分析和工作流程的剖析 ,可以看出系统实现的关键就是专栏新闻的审核、防止SQL注入和系统安全权限问题。
(1)在专栏新闻的审核设计中,对于各个学院和部门要有单独的登录窗口,然后根据验证后的身份登录进行新闻编辑,但是没有审核通过和发布的权限 ,当部门提交了一个新闻后,管理员在窗口中可以看到如下图显示
新闻的状态显示是未审核,实现这个功能的方法是在数据库的新闻表里加一个Veryfy字段,当是各学院和部门提交的新闻时,默认都是0,只有在管理员编辑以后选择审核通过才把Veryfy字段改为1,同时发布在新闻专栏的相关栏目里,管理员只要审核通过即可发布。
(2)防止SQL注入
本系统自带一个防止SQL注入的小程序,里面有数据库,可以过虑一般的SQL安全问题,并对屡次攻击的IP进行屏蔽。在设计的时候首先要定义过滤的字符,代码如下
sql_In = '' truncate|char|declare |%|chr|mid|master| '
然后通ASP中split函数把sql_In字符串变成数组,通过For Each循环比较Request.Form里是否包括在sql注入数组里,如果包括就写入到数据库里,同时提出警告。
(3)系统安全权限问题
1 用户与权限模型
用户主要分为管理员和一般用户,登录后,根据不同的身份和授权具有不同的系统功能,比如各部门和学院的用户只有上传文章的功能,没有发布的功能,同时系统会记录不同的用户最后登录的时间和IP,进一步加强了系统的使用安全。
2利用IIS或者ASP代码限制用户IP登录
因为大部分的维护人员的机器都是在高校内,而且基本是固定IP,所以,可以通过IIS本身自带的IP限制功能或者ASP代码把用户登录限制在固定的机器上,给系统带来了安全。
3加强维护人员的安全培训
以上的安全虽然重要,但最重要的还应该是人为的因素 ,所以,我们在使用的时候要写说明书,对使用人员进行培训。
在实现上述基本功能后,我们还根据实际反馈的意见 ,增加了图片滚动管理
3高校新闻专栏系统的实践
高校新闻专栏系统目前在支撑学校的大部分的新闻专栏工作。无论是在新闻专栏、热点专栏、突发事件专栏上面都进行了系统的测试,期间也对发现的问题并进行处理,不断的完善系统实用性,通过使用本系统提高了制作新闻专栏的速度和工作效率。
|