台技术设计与用NET第九章V2.ppt

电子政务平台技术设计与应用 南大滨海学院法政学系 张一鸣 电子政务平台技术设计与应用 南大滨海学院法政学系 张一鸣 * * * 电子政务平台技术设计与应用 ——ASP.NET高级应用Version 2 南大滨海学院法政学系 张一鸣 2016年2月12日 电子政务平台技术设计与应用 南大滨海学院法政学系 张一鸣 * * * ASP.NET高级应用第9章 注册及登录验证模块 南大滨海学院法政学系 张一鸣 2016年2月12日 电子政务平台技术设计与应用 * * 本章主要内容 任务说明 技术要点 开发过程 数据库设计 配置Web.config 公共类编写 模块设计说明 * * 9.1 注册及登录验证模块说明 用户登录及注册管理是任何网站应用程序中都必不可少的功能，它是保障系统安全性的第一个环节。本章介绍用户登录、注册及用户管理及权限设置是如何实现的。 * 实例说明 注册及登录验证模块设计实现了一个Web网站中最为普遍的登录及用户管理功能。本实例实现的具体功能如下： 删除用户 设置用户权限 用验证码对用户 进行验证 退出登录 用户登录 用户注册 修改用户基本信息 修改用户密码 * 本模块的用户界面 * 9.2 技术要点 实现用户登录及管理时必须注意防止某些用户对网站恶意攻击等安全问题，所以要采取一些加密、避免SQL注入式攻击等关键技术。 1、避免SQL注入式攻击 2、图形码生成技术 3、MD5加密算法 * 9.2.1 避免SQL注入式攻击 SQL注入式攻击是指攻击者将SQL语句传递到应用程序的过程，使程序中的SQL代码不按程序设计人员的预定方式进行运行。特别是在登录时，用户常利用SQL语句中的特定字符创建一个恒等条件，从而不需要任何用户名和密码就可以访问网站。 * SQL注入式攻击的语句 例如，如果用户的查询语句是： “select * from tbUser where name='"&user&"' and password= '"&pwd&"'"” 用户名为“1' or '1'='1”，则查询语句将会变成： select * from admin where tbUser= 1 'or' 1'='1 and password='"&pwd&"'" 这样一来查询语句就通过了，别人就可以进入程序的管理界面。 * 预防办法 SQL注入式攻击的方法有多种，为了有效地预防，可以采用以下几种方法： 使用存储过程传参的方式操作数据库。 对用户通过网址提交的变量参数进行检查，当发现SQL中有危险字符，如“'”、exec和insert等时，应给出警告或进行处理。 对用户密码进行加密。 * 9.2.2 图形码生成技术 为了防止攻击者编写程序尝试重复登录破解密码，给其他用户和网站制造麻烦，越来越多的网站开始采用动态生成的图形码或附加码进行验证。因为图形验证码是攻击者编写程序很难识别的。在生成图形验证码时主要应用到两方面的技术：一是生成随机数，二是将生成的随机数转化成图片格式并显示出来。 * 生成一个图形验证码的步骤 通常生成一个图形验证码主要有以下3个步骤： （1）随机产生一个长度为N的随机字符串，N的值可由开发人员自行设置。该字符串可以包含数字、字母等。 （2）将随机生成的字符串创建成图片并显示。 （3）保存验证码。 * 图形验证码的应用 在本实例的用户登录页面中就使用了图形验证码技术，在“验证码”文本框的右侧添加了一个Image控件，其中的图片由ValidateNum.aspx页动态生成。 验证码还可以防止恶意客户编写的机器人程序重复提交的数据，如防止不间断地填写注册信息，造成服务器负重无法正常工作等。 * public partial class ValidateNum: System.Web.UI.Page { protected void Page_Load(object sender, EventArgs e) { if (!IsPostBack) { string validateNum = CreateRandomNum(4); //成生4位随机字符串 //将生成的随机字符串绘成图片 CreateImage(validateNum); Session["ValidateNum"] = validateNum;