电子商务技术与安全课件(完整版).ppt

《电子商务技术与安全课件(完整版).ppt》由会员分享，可在线阅读，更多相关《电子商务技术与安全课件(完整版).ppt（654页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1第1章电子商务基础知识2第1章电子商务基础知识1-1 电子商务的基本概念 1-2 电子商务的功能和优势1-3 电子商务的分类及交易过程 1-4 电子商务的发展历程 1-5 电子商务系统的组成1-6 实例分析31-1 电子商务的基本概念1-1-1 1-1-1 日常生活中的电子商务 网上购书、网上交易 1-1-2 电子商务的概念 自电子商务诞生以来，国际上几个常见的电子商务的定义。41-1 电子商务的基本概念1-1-3 1-1-3 电子商务与传统商务的比较 电子商务与传统商务活动相比，其商务运作过程有着本质的差别。1-1-4 电子商务的四流 物流、资金流、商流和信息流.51-21-2电子商务的功

2、能和优势电子商务的功能和优势电子商务的功能和优势电子商务的功能和优势 1-2-1电子商务的功能电子商务的功能 广告宣传与信息发布、咨询洽谈、网上订购、网上支付、物流配送、网上市场调研、信息反馈、交易管理61-2-4 电子商务的优势 高速高效、电子商务可以降低成本，获得较高利润、覆盖面广、功能更全面、电子商务可以加强生产者和消费者之间的联系，提高服务质量、24小时不分时区的商业运作可以增加商业机会 1-2电子商务的功能和优势 7 电子商务十分有利于企业塑造自己的企业形象，更好地参与市场竞争、电子商务为企业提供了巨大的潜在顾客群，给企业带来了无限的发展机会、电子商务为虚拟企业的出现创造了条件、电子

3、商务为中小企业跻身国际市场创造了一个自由平等的竞争环境和更为广泛的合作空间1-2电子商务的功能和优势 1-3电子商务的分类及交易过程1-3-1 B2C网站实例及其交易过程登录 注册 搜索 购买 结算 送货方式 支付 了解售后 完成1-3-2 B2B网站实例及其交易过程阿里巴巴的主要产品和服务；阿里巴巴的盈利模式分析；技术环境支持；B2B模式数据结构设计。81-3电子商务的分类及交易过程1-3-3 C2C网站实例及其交易过程C2C电子商务的特征是“网上成交、网下交易”1-3-4 B2G网站实例及其交易过程特点是迅速和信息量大。由于活动在网上完成，使得企业可以随时了解政府的动向，还能减少中间环节的

4、时间延误和费用，提高政府办公的公开性和透明程度。9101-4-1 电子商务产生的基础 社会基础、技术基础、经济基础 1-4-2 电子商务的发展历程 基于EDI的电子商务（20世纪70年代至20世纪90年代）基于Internet的电子商务（20世纪90年代以后）1-4电子商务的发展历程 111-4-3 电子商务在中国发展 基础设施发展迅速、因特网用户呈几何级数增长、电子商务环境进一步改善1-4电子商务的发展历程 121-5-1 电子商务系统的结构 1-5电子商务系统的组成 电子商务网络电子商务服务商支付中心物流中心认证中心需求方供应方131-5电子商务系统的组成 电子商务应用系统网上购物、网上银

5、行、电子表订货电子商务支付系统电子货币、信用卡、电子钱包电子商务安全基础结构各种安全协议电子商务网络基础计算机网、电信网、有线电视网1-5-2 电子商务体系结构 141-5-3电子商务系统的层次电子商务系统的层次1-5电子商务系统的组成 法律规范电子商务应用应用服务层信息发布与传输网络层多媒体内容与网络宣传公共政策网络安全技术标准1-6 实例分析151-6-1网上购物案例1-6-2网络保险PICC的电子商务平台案例1-6-3网上促销DELL电子商务案例1-6-4网上书店Amazon案例16第2章电子商务安全知识 17第2章电子商务安全知识2-1 电子商务的安全问题 2-2 电子商务安全的构成与

6、需求 2-3 电子商务安全现状 2-4 电子商务安全防治措施 2-5 电子商务安全体系与安全技术2-6 实例分析 182-1 电子商务的安全问题2-1-1 漏洞 2009年到2016年漏洞公布数量（单位：个）如下图所示。192-1 电子商务的安全问题 漏洞主要包括：网络软件漏洞、网络协议的安全漏洞 2-1-2 病毒 利用灰鸽子、熊猫烧香等病毒，可以远程控制被感染主机，操作其上文件，记录键盘操作，用户的QQ号、网络游戏账号、网上银行账号 等。202-1 电子商务的安全问题2-1-3 黑客攻击 黑客攻击是计算机面临的最大的威胁，我国境内被篡改网站按类型分布如下图示。212-1 电子商务的安全问题2

7、-1-4 网络仿冒 网络仿冒又称网络欺诈、仿冒邮件或者钓鱼攻击等，是黑客使用欺诈邮件和虚假网页设计来诱骗收件人提供信用卡账号、用户名、密码、社会福利号码等，随后利用骗得的账号和密码窃取受骗者金钱。2-1 电子商务的安全问题2-1-5 活动代码或者移动代码活动代码或者移动代码是对被“推入”到客户端执行的代码的统称。几种不同种类活动代码的潜在弱点：cookie、脚本、活动代码、根据类型自动执行22232-2 电子商务安全的构成与需求 2-2-1电子商务系统安全的构成 主要包括三部分：系统实体安全、信息安全和运行安全。具体信息如下图所示。电子商务系统安全实体安全环境安全设备安全媒体安全运行安全风险分

8、析审计跟踪踪备份与恢复应急信息安全操作系统安全数据库安全网络安全病毒防护访问控制加密鉴别242-2 电子商务安全的构成与需求 2-2-2 电子商务安全的威胁 电子商务发展过程中，常见的威胁如下图所示。伪装软件漏洞信息泄密信息丢失、篡改、销毁黑客攻击计算机病毒搭线窃听网络252-2 电子商务安全的构成与需求 2-2-3 电子商务安全的需求 保密性、完整性、认证性、不可否认性、不可拒绝性、访问控制性262-3电子商务安全现状 2-3-1 法律法规建设 1、电脑犯罪立法 2、有关计算机安全的法律法规 3、有关保护个人隐私的法律法规 4、有关网络知识产权保护的法律法规 5、有关电子合同的法律法规 27

9、2-3电子商务安全现状 2-3-2 理论研究和技术开发 这方面的成果主要体现在保密性的加密算法里、提供完整性和不可否认性的数字签名、认证性领域、防火墙和授权服务器等。282-4电子商务安全防治措施2-4-1 技术措施 电子商务安全防治所用到的技术措施主要包括：网络安全检测设备、访问设备、防火墙、浏览器/服务器软件、证书、商业软件、安全工具包软件、保护传输线路安全、防入侵措施、数据加密、访问控制、鉴别机制、路由选择机制、通信流控制、数据完整性、端口保护和安全检测、审查、跟踪等措施。292-4电子商务安全防治措施2-4-2 管理措施 主要的管理措施主要有：人员管理制度、保密制度、跟踪、审计、稽核制

10、度、网络系统的日常维护制度、数据备份制度、病毒防范制度、应急措施等。302-5 电子商务安全体系与安全技术 2-5-1电子商务安全体系结构 电子商务的安全体系结构如下图所示。有效性保密性完整性电子商务应用系统支付业务系统、非支付业务系统交易协议层SET协议、SSL协议、S-HTTP协议安全认证层CA认证、数字证书、数字签名、数字信封等网络服务层防火墙、加密、漏洞扫描、入侵检测、反病毒、安全审计等加密技术层对称加密技术（DES和AES等）、非对称加密技术（RSA和ECC等）、哈希函数技术（SHA-1和MD5等）不可否认性312-5 电子商务安全体系与安全技术 2-5-2 电子商务安全技术 电子商

11、务安全技术主要包括：网络安全、交易安全。计算机网络安全采用的主要安全技术有防火墙技术、加密技术、漏洞扫描技术、入侵行为检测技术、反病毒技术和安全审计技术等。加密技术层、安全认证层和交易协议层一起构成电子商务交易安全。2-6 实例分析2-6-1 网络钓鱼案例典型案例；“钓鱼”攻击的主要目标及攻击过程；常见“钓鱼”攻击；“钓鱼”攻击的防范。2-6-2 客户机安全案例客户机在网络中面临的安全问题和防范措施2-6-3 电子商务系统安全结构案例3233第3章电子商务系统建设34第3章 电子商务系统建设3.1 电子商务系统功能 3.2 电子商务系统的总体设计与策划3.3 web服务器3.4 功能设计3.5

12、 系统开发技术3.6 ASP数据库编程技术3.7 电子商务系统及安全设计3.8 基于web数据库网站设计与实现案例353.1 电子商务系统功能3.1.1 电子商务网站的定义 电子商务网站由一系列网页、后台服务器、网络设备和数据库等软件和硬件组成。电子商务网站是企业开展电子商务活动的基本手段，是企业树立企业形象，与用户交流和沟通的窗口，也是买卖双方信息交流的渠道，是企业展示其产品与服务的平台。363.1.2 电子商务网站的功能 (1)商品展示功能 (2)购物车功能 (3)交易处理功能 373.2 电子商务系统的总体设计与策划3.2.1 电子商务网站的类型按商务模式分类 B2B网站B2C网站C2C

13、网站按电子商务网站经营模式及提供的服务分类 企业网站中介类网站电子商场平台网站批发网站383.2.2 电子商务网站的组成Web内容服务：提供电子交易过程中的企业宣传、产品展示、网站客户的注册管理、购物车管理和支付服务等内容服务。应用服务系统：提供电子商务交易过程中的业务处理部分。它是网站的核心部分，整个电子交易的业务处理都在此完成，它同时与数据服务系统和安全服务系统相关联，保证交易过程业务和数据的正确性和完整性。数据服务系统：提供网站电子交易中的数据服务，一般由数据库系统组成，提供各种数据信息服务，管理网站的数据信息结算服务系统：提供交易中的数据结算和交易转帐服务，所有交易的发生的资金往来都由

14、这部分处理。支付服务系统：提供交易资金的支付服务，它一般由金融机构提供服务，通过专用的网络与网站的结算服务系统相连，使用专用的协议，完成帐户资金的往来。安全服务系统：提供网站的安全保障。39图3-1 电子商务网站的组成结构 403.2.3 电子商务网站建设流程域名注册IP地址建设网站平台信息发布和维护网站推广413.2.4 电子商务网站硬件平台电子商务网站硬件的构成和实现 电子商务网站从硬件角度考虑包含网络服务器、应用终端或工作站以及用于设备互连的硬件设备和其他保障网站正常活动功能的设备。一般情况下硬件的配置应主要考虑业务要求、系统功能与性能因素。42网络服务器 构建网站需要的服务器有：Web

15、 服务器，提供一个WWW站点，借此可完成网站日常的信息访问以及商务业务处理。邮件服务器，提供电子邮件的发送和接收电子邮件。数据库服务器，提供电子商务业务的数据服务。还可根据需要设置协作服务器、财务服务器等。433.应用终端 终端设备有以下几种：输入终端，用于一般的文档录入工作，性能和配置要求较低。管理监控终端，用于网站运行情况的监测，保障系统运转和数据安全。开发测试终端，用于网站的设计开发工作，同时在系统上线后，进行维护系统和检测。444.网络连接设备 集线器，主要功能是对接收到的信号进行再生整形放大，以扩大网络的传输距离，同时把所有节点集中在以它为中心的节点上。交换机，主要功能包括物理编址、

16、网络拓扑结构、错误校验、帧序列以及流控。路由器，主要用于连接多个逻辑上分开的网络。路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路。5.其他设备 如扫描仪、复印机、打印机、光盘刻录机、网络检测设备等都不可缺少。另外一些特殊的安全保障设备也是必不可少的，如UPS、硬件防火墙、入侵监测设备、灾备设备等。453.2.5 电子商务网站软件平台1.操作系统WINDOWS系列操作系统 该系列主要运行于微机服务器，所以基于WINDOWS系列平台只能构建小型电子商务系统。该系列操作系统主要包括：WINDOWS NT、WINDOWS 2000、WINDOWS SERVER 2003。UNIX系列

17、操作系统 可以构建规模较大的电子商务系统。在微型计算机上运行主要采用的是UNIX SystemV版本，而在大、中、小型机上运行主要采用UNIX BSD版本。目前主流的UNIX操作系统主要包括IBM公司的AIX、SUN公司的SUNOS和SOLARIS等。LINUX系列操作系统 LINUX操作系是开放的操作系统，可以自由获得其源代码，它可以为个人PC机及兼容机硬件平台上的多个用户，提供多任务功能。常用的LINUX操作系统有：Red Hat AS系列、SUSE系列、Ubuntu系列等。462.Web服务器软件 Web服务器也称为WWW(World Wide Web)服务器，主要功能是提供网上信息浏览

18、服务。目前主流的应用服务器产品主要来自于IBM、微软、SUN、Oracle、BEA等公司。它是电子商务网站必不可少的软件，带应用程序服务器的Web服务器软件完成企业核心业务处理。详细介绍见3.3.2节。473.数据库系统软件 Oracle 数据库系统 Oracle是由Oracle公司开发的最早商品化的以高级结构化查询语言(SQL)为基础的分布式关系型数据库管理系统。主要用于大型电子商务系统中。它也是应用较广泛、功能最强大的数据库管理系统。Microsoft SQL Server数据库系统 Microsoft SQL Server是由微软公司推出的典型的关系型数据库管理系统，是目前应用最广泛的数

19、据库系统之一，主要运行于微软系列的操作系统，它使用Transact-SQL语言完成数据操作。Microsoft SQL Server是开放式的系统，其它系统可以与它进行完好的交互操作。484.其他软件 电子商务网站的软件系统还有很多，比如提供电子邮件服务的电子邮件服务器软件、完成文件传输服务的FTP软件、保障安全的病毒防护软件、防止攻击的防火墙和入侵检测软件等。493.3 web服务器主要功能是提供网上信息浏览服务。一般来讲，Web服务器传送WWW资源页面，使Web浏览器可以浏览。而真正进行事务处理工作的是Web应用程序服务器。Web应用程序服务器提供客户端应用程序可以调用的方法，来完客户端请

20、求的业务处理。确切的说，Web服务器专门处理HTTP请求，而Web应用程序服务器是通过很多协议来为应用程序提供商业逻辑。503.3.1 web服务器的工作原理Web服务器能够解析HTTP协议。当Web服务器接收到一个HTTP请求后，它会返回一个HTTP响应，响应的内容可以是一个静态页面或图片，或者进行页面跳转，或者把动态响应的产生委托给其它的程序 51图3-2 Web应用程序结构523.3.2 web服务器软件Microsoft IISMicrosoft的Web服务器产品是Internet Information Server(IIS)，IIS 是允许在公共Intranet或Internet上

21、发布信息的Web服务器。Apache Apache 源于NCSA Httpd 服务器，经过多次修改，成为世界上最流行的Web 服务器软件之一。53IBM WebSphere WebSphere Application Server 是一种功能完善、开放的Web应用程序服务器，是IBM电子商务计划的核心部分BEA WebLogic BEA WebLogic Server 是一种多功能、基于标准的web应用服务器，为企业构建自己的应用提供了坚实的基础。Tomcat Tomcat是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。543.3.3 站点的发布

22、将完成的商务网站发布到互联网上，让用户可以通过网站进行需要的商务交易活动，这就是站点发布。包括以下几个步骤：1.域名注册 域名是Internet网络上的一个服务器或一个网络系统的名字，是在internet定位资源的标识，对于网站来说，域名就是它在internet上的唯一名字。通过域名就可以在浩瀚的internet中到达指定的网站。552.网站建立方式 常用的建站方式三种，用户可以根据自身的情况加以选择。虚拟主机方式托管服务器 专线接入 3.上传网站 把制作好的电子商务网站文件上传到服务器空间。一般情况下，可以使用FTP的方式将文件上传。563.4 功能设计 建设一个电子商务网站，首先要明确建站

23、的目的和用户需求。对于不同的企业、不同的商务活动要求、不同的市场需求等目标，网站的定位和功能设计有非常大的差别。573.4.1 网站信息流程设计 B2C 电子商务网站中，顾客的具体商务行为一般包括以下几个：顾客登陆网站，浏览该网站的有关页面；挑选所需商品。在这个过程中，顾客浏览商品的说明、功能、价格、付款方式、送货条件、退货条件、售后服务等信息，决定是否进行购买行为；订购。选定商品后就可以订购。订购时使用网站提供的订购程序完成订购。付款。提供多种付款方式，方便货款的支付。商品配送。获得网络商业销售的有形产品要利用传统的配送渠道，如邮寄快递、货运公司等传送到顾客手中，而数字化产品如软件音乐可以通

24、过Internet 直接传送给顾客。583.4.1 网站信息流程设计1.网站功能设计 电子商务网站的基本功能 （1）客户端前台 登陆与注册商品浏览与选购购物管理个人订单管理支付管理59（2）服务器端后台客户管理：商品管理：订单管理：（3）其他功能新闻公告管理数据维护配送管理 图3-3 购物网站功能结构图 602.数据库设计 一个好的电子商务网站必须有强大的数据库支持。本书举例的主要数据表有：（1）客户信息表（2）商品信息表（3）订单信息表（4）购物车信息表等 613.4.2 客户管理 网站的客户管理可以分为客户端前台的客户注册管理和后台的客户信息维护。网站对访问网站的用户进行客户管理，是进行电

25、子商务交易的必要措施。621客户注册 在Internet上，登陆网站访问的用户可以是任意的人。不过，如果要完成真正的电子商务交易，需要一些必要的个人信息，从而保证交易的正常进行。客户注册的业务流程如图：开始通过验证N用户注册用户登录是否注册登录成功YN修改个人信息结束Y图3-4 客户登陆注册流程图 632客户信息管理后台管理中，对客户信息的维护和管理是重要的工作。包括客户信息的修改、会员等级的设定、查看客户订单信息等。643.4.3 商品管理商品管理是购物型商务网站的重要组成部分，管理员要根据当前市场情况、库存情况、物流情况和销售策略等信息，及时调整电子货架所陈列的商品。商品管理包括商品的分类

26、管理、商品基本信息的维护、商品添加、删除、库存情况的处理等工作。651商品分类管理 处理商品信息的时候，采用分类处理的方式比较方便，因此在管理商品中，首先进行商品的分类管理。如果一个级别的分类无法满足需要，可以采用多级分层分类的方法进行管理。2商品信息维护商品基本信息的维护、商品添加、删除、库存情况的处理等工作。管理员要注意商品库存的情况，注意哪些商品已经缺货，通知采购员进行商品采购。添加商品信息需要选择商品的分类，从而实现在指定的分类下添加合适的商品信息。商品的信息的维护还包括对已有商品信息的修改以及删除过期或者下架的商品。管理员要及时维护网站商品信息，给客户提供最新、最全面的商品信息。66

27、3.4.4 订单管理订单的管理是管理电子商务交易过程的一个重要环节。电子购物的过程中，形成买方与卖方完成交易的重要凭证之一就是订单。订单即表明了客户购买商品、要求进行交易的事实，又是销售方商品销售、商品出入库的凭据，而且一个成功的交易，订单是一种买卖双方的电子契约形式，也是交易过程和结果这种商业行为的依据。67 订单的管理可分为两个部分：一是客户端前台客户生成订单的管理；一是服务器后台对订单约定的购买商品进行后续处理过程的管理。1.客户订单生成 当客户选择完毕准备购买的商品后，就可以生成商品的订单了。订单生成的流程一般为：从购物车提取客户已选购的商品，并对选购商品进行数量与金额的统计；客户填写

28、订货人信息和收货详细信息。选择货款支付方式。选择商品送货方式。确认并提交订单。68 客户端订单管理的流程，可以如图3-5所示的过程进行。图3-5 客户端定单管理流程 69订单的状态：未处理状态：客户提交之后，并未被管理员处理。确认付款状态：商品货款已经支付，但尚未发货。无效状态：无效的订单。发货状态：管理员确认订单，安排发货。收货状态：客户已接收到购买商品。完成状态：完成交易的订单。702后台订单管理客户确认生成订单后，管理员就可以对订单进行进一步的处理。可以按照订单状态分类管理订单。后台处理客户订单的流程一般为：审查订单：审核客户提交的未处理订单的相关信息，是否符合要求。确认付款：查看未处理

29、订单的付款情况，若付款，则改变订单状态，准备发货。商品出库和发货：对已付款订单安排商品出库和发货改变订单状态。收货确认：确认客户是否收到商品，若收到，则改变订单状态。订单归档：对已经完成交易的订单进行归档。71图3-6 订单处理流程图 3.4.5 电子商务网站检索 一个成功的数据库应用程序都使用Connection对象建立连接，并使用Recordset对象处理返回的数据。通过使用这两个对象，可以开发出执行大多数数据处理任务的数据库应用程序。3.4.6 电子商务网站BBS售后服务用户登录发送消息历史消息72733.5 系统开发技术3.5.1 电子商务网站体系结构目前电子商务网站的体系结构有多种，

30、常见的是三层体系结构模式：数据层：提供网站业务数据服务，包括数据库系统和访问数据库的应用程序接口。数据库提供具体的业务数据支撑，而数据访问应用程序接口为上层的业务处理应用程序提供访问数据库的方法，从而实现数据交互。它处于最低层，是构建网站的基础。业务层：提供电子商务交易过程中的业务逻辑处理服务，这个层次中包含具体为业务服务的应用程序，每个商务过程都是由一个相关的任务序列组成的事务。比如处理web请求的web应用程序、处理订单业务的EJB等等。网站业务的实现，全部由这些应用程序完成，例如网站客户管理、商品管理、订单管理、结算支付以及安全保障等。它是网站体系结构的核心层，整个电子交易的业务处理都在

31、此完成。表示层：表示层提供电子交易过程中的企业宣传、商品信息的发布、信息查询、注册管理、购物车管理以及订单路入等。它位于最上层，面向web访问用户，是网站对外服务的窗口。74图3-7 电子商务网站的体系结构753.5.2 客户端技术1静态网页开发技术2JavaScript3VBScript4DHTML5XML技术763.5.3 服务器端技术1.ASP技术2.JSP技术3.PHP技术773.5.4 基于web的数据库访问技术1.数据库系统访问技术开放数据库连接(ODBC)开放数据库连接(Open Database Connectivity，ODBC)是由Microsoft公司定义的一种数据库访问

32、标准。使用ODBC应用程序不仅可以访问存储在本地计算机的桌面型数据库中的数据，而且可以访问异构平台上的数据库 图3-8 使用ODBC访问数据库原理图 78OLE DBOLE DB是Microsoft公司提供的关于数据库系统级编程的接口(System-Level Programming Interface)，是Microsoft公司数据库访问的基础。OLE DB实际上是Microsoft公司OLE对象标准的一个实现。OLE DB对象本身是COM(组件对象模型)对象并支持这种对象的所有必需的接口。因为OLE DB是一个面向对象的接口，特别适合于面向对象语言，然而，许多数据库应用开发者使用VBScr

33、ipt和JScript等脚本语言开发程序，所以Microsoft公司在OLE DB对象的基础上定义了ADO。动态数据对象(ADO)动态数据对象(Active Data Objects，ADO)是一种简单的对象模型，可以被开发者用来处理任何OLE DB数据，可以由脚本语言或高级语言调用。ADO对数据库提供了应用程序水平级的接口(Application-Level Programming Interface)，几乎使用任何语言的程序员都能够通过使用ADO来使用OLE DB的功能。792.Web数据库访问技术 1）CGI(Common Gate Interface)技术 CGI 是最早普遍使用的We

34、b 数据库访问技术，几乎所有的Web 服务器都支持CGI。程序员可以选择任何一种语言，如C，C+，Delphi,Visual Basic或Perl 来编写CGI 应用程序。802）Web API(Web Application Programming Interface)技术 Web API 是Web 服务器开发商为其产品用户开发，类似于CGI 程序的服务器端扩展程序所提供的专用编程接口。用户利用Web API可以完成CGI程序所能实现的功能，并且维持服务器较好的性能。API应用程序通常以动态链接库(DLL)的形式提供，驻留在Web 服务器上，它的作用与CGI 相似，也是为了扩展Web 服务器

35、的功能。图3-9 API方式 web数据库访问结构 813）ASP(Active Server Page)技术建立在Active 平台上的ASP 技术是一种服务器端脚本运行环境，ASP 通过自带的ActiveX数据对象组件ADO(Data Access Object)与任何跟ODBC兼容的数据库和OLE DB 数据源进行高性能的连接，进行数据库访问操作。图3-10 ASP技术访问数据库的结构示意图823.6 ASP数据库编程技术3.6.1 ADO组件ADO（ActiveX Data Object）是ASP内置的、用于访问Web数据库的ActiveX服务器组件。应用程序开发者可以将它与ASP结合

36、起来，编写提供后台数据库信息的动态网页，并在客户浏览器端，实现对Web数据库的查询、插入、更新和删除数据的操作。83ADO常用对象Connection对象：负责创建一个ASP脚本与指定数据库的连接。在对某个数据库进行各种操作之前，首先需要与该数据库建立连接。Recordset对象：用来保存和表示从数据库中取得的记录集合，并允许访问者进一步对其中的记录和字段进行各种操作。Command对象：负责对数据库提出操作请求，通常是传递和执行指定的SQL命令。该对象的执行结果将返回一个Recordset记录集。Record对象：Record对象允许处理半结构存储中存储的数据（如在某个目录结构中的文件），就

37、像这些数据记录在数据库中一样。Stream对象：Stream对象用来处理二进制数据，所以，可以用来处理BLOB类型的数据，比如数据库中的图像或大文本数据。843.6.2 Connection对象 Connection对象用于建立和管理应用程序与OLE DB兼容数据源或ODBC兼容数据库之间的连接，并可以对数据库进行一些相应的操作。在ASP中，在使用ADO连接数据库时，需要声明一个Connection对象，方式如下：这个实例执行之后，实际上并未连接到任何数据库系统，只是完成数据库连接前的声明操作。85Connection对象常用的方法如下表。表3-1 Connection的方法方法方法说明说明O

38、pen负责与具体数据源的连接Execute执行指定的SQL语句或存储过程Close负责关闭一个已经启动的连接对象及其相关的对象861open方法Open方法用于创建与数据源的物理连接。语法为：Connection.Open ConnectionString,UserID,Password；其中：ConnectionString用于指定连接字符串；UserID指定建立连接时所使用的用户名；Password指定建立连接时所使用的密码。（1）通过OLE DB连接数据库 通过OLE DB连接SQL Server的数据库，方法如下：Set Conn=Server.CreateObject(“ADODB.

39、Connection”)Conn.Open Provider=SQLOLEDB;Data Source=数据库服务器名称;Initial Catalog=数据库名称;User ID=用户名;Password=密码;87举例代码：%On Error Resume Nextconn=Provider=SQLOLEDB;Data Source=192.168.1.2;Initial Catalog=testdb;User ID=yan;Password=3487Set conn=Server.CreateObject(ADODB.Connection)conn.Open connstrif conn

40、.State=1 thenResponse.Write 数据库连接成功！conn.Close else Set conn=Nothing Response.Write 数据库连接出错！Response.Write 可能出错原因：数据库位置或名称不对、数据库损坏！Response.EndEnd if%88直接通过OLE DB连接Access数据库，方法如下：Set Conn=Server.CreateObject(“ADODB.Connection”)Conn.Open Provider=Microsoft.Jet.OLEDB.4.0;Data Source=数据库文件名 其中：Provider

41、是用于连接的提供者的名称；Data Source是Access数据库的物理位置和文件名称。89举例如下：%On Error Resume Nextdbfolder=database/connstr=Provider=Microsoft.Jet.OLEDB.4.0;Data Source=&Server.MapPath(dbfolder&count.mdb)Set conn=Server.CreateObject(ADODB.Connection)conn.Open connstrif conn.State=1 thenResponse.Write ACCESS数据库连接成功！conn.Clos

42、e else Set conn=Nothing Response.Write ACCESS数据库连接出错！Response.Write 可能出错原因：数据库位置或名称不对、数据库损坏！Response.EndEnd if%90（2）通过ODBC连接数据库通过ODBC连接数据库，方法如下：Set Conn=Server.CreateObject(“ADODB.Connection”)Conn.open“DSN=数据源名称;UID=数据库用户名;PWD=密码”其中DSN是设置的ODBC数据源名称。无论连接何种数据库，只要设置好ODBC连接数据源（通常称为数据源名称，即DSN），都可以使用这种方式连

43、接数据库。912execute方法 execute方法用来执行指定的查询、SQL语句等操作。举例如下：3Close方法 Close方法负责关闭一个已经启动的连接对象及其相关的对象，其语法如下：Connection.Close923.6.3 RecordSet对象Recordset对象，又称为记录集，是ADO中最常用的对象，它负责从数据库中取得所需的记录数据并创建一个记录集合。它可以用于检索数据、检查结果、更改数据库数据等操作。Recordset 对象有许多可以使用的特性，它保持查询返回的记录的位置，允许您一次一项逐步扫描结果。创建Recordset对象实例的语法格式如下：Set rs=Serv

44、er.CreateObject(ADODB.Recordset)rs即为创建的Recordset对象。93Recordset对象的方法和属性如表3-2和表3-3所示。方法方法说明说明AddNew添加一条空白记录CancelBatch取消一个批处理更新操作CancelUpdate取消已存在的和新的记录所做的任何改变Close关闭打开的记录集GetRows取得记录集的多条记录Movefirst将RS记录集对象的指针移至记录集对象中最顶端的记录Moveprevious将RS记录集对象的指针向上移动一条Movenext将RS记录集对象的指针向下移动一条Movelast将RS记录集对象的指针移至记录集对

45、象中最底端的记录Open打开一个记录集Requery重新执行查询Update向数据库提交对一条记录的改变或添加Fields.count显示该记录集对象内所含有的字段数属性属性说明说明AbsolutePage设置当前记录所在位置是第几页AbsolutePosition设置记录集对象所在位置是第几条记录ActiveConnection设置记录集属于哪一个Connection对象BOF检验当前记录集对象所指位置是否在第一条记录之前，若成立，则返回True，否则返回FalseEOF检验当前记录集对象所指位置是否在最后一条记录之后。若成立，则返回True，否则返回FalseCacheSize设置记录集对

46、象在内存中缓存的记录数Cousor设置记录集对象的光标类型，共分为四种，分别为Dynamic，Static，Forward-only，KeysetEditMode指定当前是否处于编辑模式LockType在记录集的当前位置锁定记录PageSize设置记录集对象一页所容纳的记录数PageCount显示记录集当前的页面总数表3-2 Recordset对象的方法表3-3 Recordest对象的属性941.Open方法Open方法的功能是创建与指定数据源的连接，并打开一个RecordSet对象。其语法格式为：RecordSet.Open Source,ActiveConnection,CursorTy

47、pe,LockType,Options 其中：Source是数据源，可以是数据库中的表名、存储的查询或过程、SQL字符串、Command对象或适用于提供者的其他命令对象；ActiveConnection记录集使用的连接，可以是一个连接字符串或者一个打开的Connection对象；CursorType是RecordSet的一个属性，表示使用的光标类型，必须是定义的光标类型中的一种，缺省值为adForwardOnly；LockType也是RecordSet的一个属性，表示使用的锁定类型，必须是定义的锁定类型中的一种，缺省值为adLockReadOnly；Options告诉提供者Source参数的内

48、容是什么，如表、文本字符串等等。95举例如下：962Close方法关闭所指定的RecordSet对象以便释放所有关联的系统资源。语法格式为：RecordSet.Close 需要注意的是关闭Recordset对象并非是将它从内存中删除。要将对象从内存中完全删除，可将对象变量设置为 Nothing。例如：rs.close set rs=Nothing973移动记录集合光标的方法移动记录集合光标的方法：MoveFirst方法：将当前记录指针移动到RecordSet对象的第一条记录。MoveLast方法：将当前记录指针移动到RecordSet对象的最后一条数据记录。MoveNext方法：将当前记录指针

49、移动到下一条数据记录。MovePrevious方法：将当前记录指针移动到上一条数据记录。98记录集合光标的移动示意如下图所示。图3-11 RecordSet光标的移动示意图 99举例如下：.a href=article.asp?a_id=target=_blank 1003.7 电子商务系统及安全设计3.7.1 网站安全设计1物理安全问题（1）给服务器加把锁（2）使用UPS（3）数据备份1012软件的安全问题（1）Windows 的系统漏洞（2）Uuix/Linux 的系统漏洞（3）其他商用软件的漏洞1023代码安全问题（1）SQL注入攻击SQL注入原理就是在客户端提交特殊代码，非法获取服务器

50、信息。一般的网站都提供用户注册的功能，注册用户登录后，可以享受更多的服务。通过一个验证登录用户实验，来感受一下SQL注入攻击的威胁。登录时对用户验证处理的SQL语句一般为：select*from reguser where user=+Username.Text+and pwd=+Pwd.Text+其中Username.Text和Pwd.Text代表用户在web页面上的输入。当从数据库中查询到满足条件的客户信息后，就可以认证该用户是注册用户，但是，当一个恶意的输入出现时，情况就改变了，如果用户名输入为：asdf or 1=1-，密码部分随意输入，则查询的SQL语句就变成了：select*fro