重點(diǎn)實(shí)驗(yàn)室網(wǎng)站設(shè)計(jì)與開(kāi)發(fā)

重點(diǎn)實(shí)驗(yàn)室網(wǎng)站設(shè)計(jì)與開(kāi)發(fā)網(wǎng)站設(shè)計(jì)1.1功能設(shè)計(jì)本系統(tǒng)包括前臺(tái)和后臺(tái)兩大模塊。前臺(tái)用于信息的展示和資料的下載，包括實(shí)驗(yàn)室概況、實(shí)事新聞、公告通知、科研隊(duì)伍、實(shí)驗(yàn)設(shè)備、基金申報(bào)等功能模塊。這些功能模塊將最新的信息，最新的研究成果，以及科研項(xiàng)目申報(bào)信息及時(shí)地向外界發(fā)布。達(dá)到宣傳實(shí)驗(yàn)室，吸引國(guó)內(nèi)外學(xué)者來(lái)實(shí)驗(yàn)室進(jìn)行學(xué)術(shù)交流和合作研究的目的。后臺(tái)用于網(wǎng)站的日常管理、安全和維護(hù)，主要實(shí)現(xiàn)了用戶管理、新聞管理、研究隊(duì)伍管理、上傳下載管理等功能模塊。1.1.1用戶管理用戶管理包括用戶注冊(cè)、用戶登錄、用戶權(quán)限分配、用戶密碼修改。瀏覽網(wǎng)站的游客，可以通過(guò)網(wǎng)站注冊(cè)入口注冊(cè)新用戶，然后在登錄入口登錄后可以發(fā)表評(píng)論和執(zhí)行其他操作。對(duì)于管理員，系統(tǒng)將管理員分成三個(gè)等級(jí)。三級(jí)管理員可以登錄到網(wǎng)站后臺(tái)，能夠發(fā)表新聞、添加公告、發(fā)布研究成員信息和添加實(shí)驗(yàn)設(shè)備信息，但是所有添加的信息都需要更高級(jí)管理員審核。二級(jí)管理員能夠?qū)徍巳?jí)管理員發(fā)布的信息，也可以直接添加信息到前臺(tái)。一級(jí)管理員除了具備二級(jí)管理員和三級(jí)管理員的權(quán)限外，還能夠管理所有管理員，包括修改管理員信息、修改管理員密碼、查看管理員的登錄信息和信息發(fā)布。1.1.2新聞管理新聞管理包括新聞添加、新聞審核、新聞修改、新聞刪除。新聞添加功能不僅能夠添加新聞，而且可以發(fā)布公告和實(shí)驗(yàn)室概況等信息。在添加時(shí)要求必須輸入新聞的標(biāo)題和新聞的內(nèi)容，其中新聞的內(nèi)容通過(guò)文本編輯控件輸入，然而不是所有的新聞都能夠直接發(fā)布到網(wǎng)站前臺(tái)，為了防止不良信息的上傳，還需要高級(jí)管理員對(duì)上傳的新聞進(jìn)行審核后才能夠顯示到前臺(tái)。對(duì)于有問(wèn)題或過(guò)時(shí)的新聞，管理員可以通過(guò)后臺(tái)管理實(shí)現(xiàn)對(duì)新聞的修改和刪除操作。1.1.3研究隊(duì)伍管理研究隊(duì)伍管理包括成員個(gè)人信息添加、個(gè)人信息修改、個(gè)人信息刪除。研究隊(duì)伍的管理和新聞管理類似，不同的是研究隊(duì)伍信息分為多類，值得注意的是為了避免數(shù)據(jù)庫(kù)數(shù)據(jù)添加錯(cuò)誤和前臺(tái)界面的美觀，成員性別、成員圖片、成員著作這一系列信息需要嚴(yán)格的輸入格式控制，如成員性別只能設(shè)置男和女兩個(gè)選項(xiàng)，成員著作的輸入需要省略書(shū)名號(hào)等。1.1.4上傳下載管理上傳下載管理包括文件上傳、文件刪除。為了方便實(shí)驗(yàn)室的管理，實(shí)驗(yàn)室網(wǎng)站提供瀏覽用戶下載功能。管理員可以通過(guò)后臺(tái)管理系統(tǒng)，上傳限定格式的文件供學(xué)生、老師們下載，當(dāng)然也可以對(duì)不合要求或過(guò)期的文件進(jìn)行刪除。1.2技術(shù)設(shè)計(jì)在實(shí)驗(yàn)室網(wǎng)站的開(kāi)發(fā)過(guò)程中，數(shù)據(jù)庫(kù)的連接、新聞的添加等功能需要頻繁使用，而且當(dāng)數(shù)據(jù)庫(kù)設(shè)計(jì)發(fā)生改動(dòng)或?qū)嶒?yàn)室網(wǎng)站功能需要優(yōu)化時(shí)，網(wǎng)站代碼需要隨之更改，為了使網(wǎng)站系統(tǒng)便于拓展，便于維護(hù)，便于修改，系統(tǒng)科學(xué)重點(diǎn)實(shí)驗(yàn)室使用三層架構(gòu)理念來(lái)實(shí)現(xiàn)其基本功能，使實(shí)驗(yàn)室網(wǎng)站數(shù)據(jù)庫(kù)連接、功能實(shí)現(xiàn)、界面顯示分別通過(guò)數(shù)據(jù)訪問(wèn)層、業(yè)務(wù)邏輯層和應(yīng)用層來(lái)實(shí)現(xiàn)。數(shù)據(jù)訪問(wèn)層主要負(fù)責(zé)網(wǎng)站和數(shù)據(jù)庫(kù)的連接，實(shí)驗(yàn)室網(wǎng)站的數(shù)據(jù)連接效率及數(shù)據(jù)訪問(wèn)安全性是網(wǎng)站開(kāi)發(fā)的核心，同時(shí)實(shí)驗(yàn)室網(wǎng)站系統(tǒng)的數(shù)據(jù)庫(kù)存儲(chǔ)著用戶及實(shí)驗(yàn)室成員的基礎(chǔ)信息，因此數(shù)據(jù)訪問(wèn)層的設(shè)計(jì)關(guān)系著網(wǎng)站的穩(wěn)定性及安全性，是開(kāi)發(fā)者需要重視的模塊。網(wǎng)站系統(tǒng)數(shù)據(jù)訪問(wèn)層的設(shè)計(jì)包含五個(gè)類，分別是OperateDB類、News類、Members類、Device類、File類，這些類都是通過(guò)ADO.NET與數(shù)據(jù)庫(kù)建立連接的。OperateDB類為另外四個(gè)類的基礎(chǔ)，供其他連接數(shù)據(jù)庫(kù)的類使用，它包含Exe—cuteNonQuery方法、ExecuteDataSet方法、ConnectionString屬性。ExecuteNonQuery方法為void型，用于執(zhí)行該方法傳入的SQL語(yǔ)句字符串的操作，其它類要執(zhí)行SQL語(yǔ)句可以直接調(diào)用OperateDB類下的該方法。ExecuteDataSet方法有返回值，該方法將SQL語(yǔ)句的查詢結(jié)果通過(guò)DataSet形式返回，從數(shù)據(jù)庫(kù)讀數(shù)據(jù)在前臺(tái)顯示新聞時(shí)需要該方法的支持。ConnectionString屬性返回網(wǎng)站系統(tǒng)連接數(shù)據(jù)庫(kù)的連接字符串。其他四個(gè)類分別為系統(tǒng)與新聞、成員、設(shè)備、文件數(shù)據(jù)庫(kù)之間的連接類，比較類似，這里通過(guò)News類的介紹來(lái)了解這四個(gè)類的作用。News類通過(guò)設(shè)置五個(gè)方法實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)中新聞表的添加、修改、查詢、刪除和更新操作，分別為NewsAdd方法、NewsModify方法、News—Found方法、NewsDelete方法、NewsUpdate方法。這些方法為新聞的一整套管理系統(tǒng)打下基礎(chǔ)，即使新聞數(shù)據(jù)庫(kù)字段發(fā)生更改或者功能需要優(yōu)化，開(kāi)發(fā)者可以簡(jiǎn)單改動(dòng)數(shù)據(jù)訪問(wèn)層的該類來(lái)達(dá)到想要的目的。業(yè)務(wù)邏輯層是數(shù)據(jù)訪問(wèn)層和應(yīng)用層的過(guò)渡，既繼承了數(shù)據(jù)訪問(wèn)層的數(shù)據(jù)連接功能，又為應(yīng)用層的實(shí)現(xiàn)打下基礎(chǔ)。除了要完成數(shù)據(jù)的基本操作外，業(yè)務(wù)邏輯層還要審查輸入的字符串是否符合要求，如檢查用戶名、密碼、郵箱等的輸入是否正確并屏蔽非法字符，以防止SQL注入，同時(shí)通過(guò)調(diào)整業(yè)務(wù)順序減少數(shù)據(jù)庫(kù)訪問(wèn)頻度。該層的設(shè)計(jì)包含五個(gè)類，分別是NewsLogic類、MembersLogic類、DeviceLogic類、FileLogic類和TextCheck類，前四個(gè)類的方法是數(shù)據(jù)訪問(wèn)層類方法的直接封裝，TextCheck類主要用于對(duì)輸入字符的檢驗(yàn)，是為系統(tǒng)安全而設(shè)計(jì)，包含四個(gè)方法，分別是UsernameCheck方法、PasswordCheck方法、E—mailCheck方法、TextCheck方法。UsernameCheck方法用于注冊(cè)時(shí)用戶名的檢測(cè)，當(dāng)用戶輸入的用戶名已經(jīng)存在時(shí)，注冊(cè)會(huì)失敗，系統(tǒng)提示用戶名已經(jīng)存在，當(dāng)用戶名為非法字符時(shí)，系統(tǒng)會(huì)提示用戶名包含非法字符。PasswordCheck方法用于密碼輸入的檢測(cè)，當(dāng)用戶注冊(cè)或登錄時(shí)會(huì)調(diào)用該方法，該方法限制用戶輸入的密碼只能為字母或數(shù)字，當(dāng)輸入非法時(shí)不執(zhí)行數(shù)據(jù)庫(kù)訪問(wèn)操作，防止代碼注入而且減少了對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)。EmailCheck方法用于檢測(cè)注冊(cè)時(shí)郵箱輸入是否規(guī)范。TextCheck方法用于文本框輸入時(shí)非法字符的檢測(cè)，新聞標(biāo)題、成員信息等的輸入都要通過(guò)該方法檢測(cè)后才能存入數(shù)據(jù)庫(kù)。應(yīng)用層為網(wǎng)站系統(tǒng)面向用戶的層，主要為用戶提供方便美觀的瀏覽頁(yè)面。用戶直接接觸的就是應(yīng)用層，一個(gè)好的實(shí)驗(yàn)室網(wǎng)站除了要有完善的功能還要有美觀的界面。網(wǎng)站首頁(yè)導(dǎo)航欄包含實(shí)驗(yàn)室概況、時(shí)事新聞、公告通知、管理?xiàng)l例、研究隊(duì)伍、實(shí)驗(yàn)設(shè)備、基金申報(bào)七個(gè)欄目，分別介紹實(shí)驗(yàn)室的概況、實(shí)驗(yàn)室最新新聞活動(dòng)、實(shí)驗(yàn)室通知公告、實(shí)驗(yàn)室的條例準(zhǔn)則、實(shí)驗(yàn)室研究成員基本信息、實(shí)驗(yàn)室已有的實(shí)驗(yàn)設(shè)備信息和基金申報(bào)事項(xiàng)及文件下載。對(duì)于首頁(yè)公告通知的顯示，通知信息通過(guò)流動(dòng)方式輪流顯示最新通知事項(xiàng)。七個(gè)欄目的二級(jí)頁(yè)面設(shè)計(jì)類似，左邊為次級(jí)導(dǎo)航欄，右邊為發(fā)布的新聞或其他信息，而且都是通過(guò)分頁(yè)顯示，不同的是時(shí)事新聞、公告通知欄目顯示的是新聞或公告的標(biāo)題，而研究隊(duì)伍和實(shí)驗(yàn)設(shè)備顯示的是成員或設(shè)備圖片。網(wǎng)站系統(tǒng)除了簡(jiǎn)單的顯示新聞、通知的具體信息外，還在三級(jí)頁(yè)面顯示發(fā)布人、點(diǎn)擊量等用戶關(guān)心的信息。1.3安全性設(shè)計(jì)網(wǎng)站威脅常見(jiàn)的一種就是文件上傳漏洞，文件上傳漏洞就是對(duì)用戶上傳的文件類型判斷不完善，導(dǎo)致攻擊者上傳非法類型的文件，從而對(duì)網(wǎng)站進(jìn)行攻擊。我們通過(guò)對(duì)每一處要上傳的模塊進(jìn)行嚴(yán)格的判斷，圖片只能上傳jpg、JPG、jpeg、JPEG等格式的文件，新聞只能上傳doc、pdf、xls等格式的文件，同時(shí)對(duì)調(diào)用的文本編輯控件的文件上傳功能進(jìn)行設(shè)置并修改上傳路徑，這樣可以防止黑客惡意上傳程序等文件威脅網(wǎng)站安全。網(wǎng)站管理員登錄密碼的安全性也是網(wǎng)站安全不可忽略的重要點(diǎn)，黑客可以通過(guò)SQL注入等意想不到的方式獲取服務(wù)器端數(shù)據(jù)庫(kù)數(shù)據(jù)從而得到管理員密碼，進(jìn)而破壞網(wǎng)站，但我們通過(guò)密碼學(xué)散列算法（如：SHA-1）對(duì)管理員注冊(cè)密碼進(jìn)行哈希，數(shù)據(jù)庫(kù)中存儲(chǔ)密碼的散列值，即使黑客獲得數(shù)據(jù)庫(kù)存儲(chǔ)的哈希值，也無(wú)法使用該值登陸。如果管理員賬號(hào)密碼泄露，網(wǎng)站安全將受到嚴(yán)重威脅，因此管理員的分級(jí)功能就至關(guān)重要。在網(wǎng)站眾多功能中，低級(jí)別的管理員只能管理部分功能，高級(jí)別的管理員可以管理低級(jí)別的管理員。在我們完全信任最高級(jí)別的管理員的假設(shè)下，即使低級(jí)別管理員賬號(hào)泄露或低級(jí)別管理員自己惡意攻擊網(wǎng)站，其并不能對(duì)網(wǎng)站安全產(chǎn)生足夠大的威脅。同時(shí)，我們還采用了登錄日志來(lái)識(shí)別對(duì)網(wǎng)站攻擊的發(fā)生。如果黑客惡意攻擊網(wǎng)站使網(wǎng)站安全受到威脅，我們可以通過(guò)每一次登陸時(shí)記下的登陸賬戶信息、ip地址及登陸后的操作來(lái)判斷攻擊網(wǎng)站用戶，然后將其處理，防止攻擊再次發(fā)生。數(shù)據(jù)庫(kù)設(shè)計(jì)SQLSever2008是Windows上最廣泛應(yīng)用的關(guān)系型數(shù)據(jù)庫(kù)，具有操作簡(jiǎn)單、成本低、開(kāi)發(fā)周期短等優(yōu)點(diǎn)，其性能和安全性方面完全能滿足重點(diǎn)實(shí)驗(yàn)室網(wǎng)站的需求，因此選擇了在Win-dows操作系統(tǒng)下極具優(yōu)勢(shì)的SQLSever2008作為后臺(tái)數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)主要存儲(chǔ)用戶信息、添加的新聞信息、上傳的文件信息、開(kāi)放的設(shè)備信息、研究隊(duì)伍信息、登錄日志信息。管理員通過(guò)后臺(tái)管理模塊向各個(gè)數(shù)據(jù)表添加信息；前臺(tái)展示頁(yè)面根據(jù)固定的業(yè)務(wù)邏輯從數(shù)據(jù)庫(kù)讀取信息，或按用戶的查詢要求動(dòng)態(tài)地從數(shù)據(jù)庫(kù)讀取特定的信息。具體的數(shù)據(jù)表如下：用戶基本信息表包含字段有：用戶id、用戶名、昵稱、密碼、性別、用戶權(quán)限、郵箱、用戶備注；新聞信息表包含字段：新聞id、新聞標(biāo)題、新聞分類、上傳用戶id、上傳時(shí)間、新聞內(nèi)容、添加的圖片地址、點(diǎn)擊量；上傳文件表包含字段：文件id、文件名稱、文件分類、上傳者、上傳時(shí)間、下載量；開(kāi)放設(shè)備表包含字段：設(shè)備id、設(shè)備名稱、設(shè)備圖片、設(shè)備簡(jiǎn)介；研究隊(duì)伍表包含字段：成員id、成員姓名、成員性別、成員圖片、成員簡(jiǎn)介；日志管理表包含字段：日志id、登錄用戶id、登錄時(shí)間、登錄ip地址。新聞信息表中的上傳用戶id與用戶信息表中的用戶id對(duì)應(yīng)，管理員添加新聞時(shí)，系統(tǒng)把通過(guò)session保存的登錄用戶id存儲(chǔ)到新聞信息表中的上傳用戶id。日志管理表中的登錄用戶id與用戶信息表中的用戶id對(duì)應(yīng)，用戶登錄時(shí)，系統(tǒng)自動(dòng)將用戶id存儲(chǔ)到日志管理表中的登錄用戶id列。結(jié)