《基于PHP的Web知識學習系統(tǒng)的設(shè)計》6800字（論文）

基于PHP的Web知識學習系統(tǒng)的設(shè)計目錄引言 摘要：Web漏洞主要是程序員在設(shè)計程序時因考慮不周而造成的漏洞。由于Web漏洞種類繁多，并且市場上Web漏洞學習平臺的內(nèi)容參差不齊，因此，Web漏洞的學習難度較大。本系統(tǒng)為用戶提供漏洞學習和漏洞修補等課程，給維護網(wǎng)絡(luò)安全提供了很大的便利。系統(tǒng)是基于B/S框架，采用PHP腳本語言、MySQL數(shù)據(jù)庫等技術(shù)，在PHPStudy開發(fā)環(huán)境中實現(xiàn)了一個功能較為完整的學習系統(tǒng)。系統(tǒng)角色劃分為普通用戶和管理員，普通用戶模塊包括：系統(tǒng)簡介、課程中心、站內(nèi)公告、漏洞知識、資源下載、我的學習、測試查詢等；管理員模塊包括：系統(tǒng)設(shè)置、課程管理、試題庫管理、測試管理、資源管理、用戶管理等。系統(tǒng)運行穩(wěn)定、使用便捷，是一款功能性齊全、安全性高、移植性和維護性強的Web漏洞學習平臺。關(guān)鍵詞：Web漏洞；PHP語言；MySQL數(shù)據(jù)庫；B/S框架；學習系統(tǒng)引言在二十一世紀互聯(lián)網(wǎng)時代，網(wǎng)絡(luò)的興起讓人們可以更加廣泛、快速、準確的傳播各種信息。而網(wǎng)絡(luò)的發(fā)展也讓漏洞變得司空見慣，特別是Web漏洞的OWASPTop10，它是危害排名靠前的十大安全隱患漏洞。如果網(wǎng)站的站點存在漏洞和黑客入侵，攻擊者就可以輕松地掌控整個站點，并進一步獲得該服務(wù)器站點的訪問權(quán)限和管理權(quán)限。創(chuàng)建安全的Web應(yīng)用程序或修復現(xiàn)有應(yīng)用程序的漏洞都是非常困難的，所以針對Web漏洞進行的防御變得尤其重要。如果企業(yè)管理人員需要管理大量的應(yīng)用程序，這將是一項厚棟任重的任務(wù)。在與日俱增的攻擊和網(wǎng)絡(luò)安全監(jiān)管的壓力下，公司必須建立強有力的防御系統(tǒng)去確保應(yīng)用程序和API的安全。因為現(xiàn)在很多網(wǎng)站的應(yīng)用程序都存在大量的Web漏洞，所以針對Web漏洞進行學習的需求變得日益緊迫。1概述1.1研究背景社會發(fā)展的決定性力量就是科技發(fā)展，科技發(fā)展就要求人們創(chuàng)新，只有創(chuàng)新，我們才能發(fā)明智能化的產(chǎn)品，發(fā)明智能化的產(chǎn)品才能推動經(jīng)濟的發(fā)展。在我們的日常生活中，計算機的廣泛使用帶給人們巨大的便利。隨著科技發(fā)展的瞬息萬變，人們對計算機有了更高的需求，這就要求我們不斷開發(fā)新的系統(tǒng)，所以互聯(lián)網(wǎng)給我們帶來便利的同時，也推動著社會不斷進步?，F(xiàn)今網(wǎng)絡(luò)學習成為一種潮流，互聯(lián)網(wǎng)則是學習的一個重要平臺，并得到快速的發(fā)展。因此越來越多的應(yīng)用軟件在功能上和性能上不斷創(chuàng)新和完善，但往往容易忽略其安全性，容易讓攻擊者有機可乘和有利可圖。攻擊者利用存在的各種漏洞，以獲取服務(wù)器的管理權(quán)限，從而進行惡意修改網(wǎng)頁內(nèi)容，盜取保密的數(shù)據(jù)信息等操作，其中更為嚴峻的是在網(wǎng)頁中插入木馬或惡意代碼，用戶在訪問該網(wǎng)站時容易被攻擊，因此Web安全威脅迫在眉睫。如近年來發(fā)生的網(wǎng)絡(luò)安全事件：阿里云用戶數(shù)據(jù)被泄露、WannaCry勒索病毒事件全球爆發(fā)、“滴滴出行”App嚴重違法違規(guī)收集使用個人信息等。1.2研究意義近年來，網(wǎng)絡(luò)安全事件屢屢發(fā)生，如數(shù)據(jù)庫信息被竊取和刪除、服務(wù)器被攻擊、用戶賬戶被竊取、用戶數(shù)據(jù)被惡意篡改、網(wǎng)絡(luò)釣魚、勒索病毒等，并且新的攻擊方式也層出不窮，網(wǎng)絡(luò)安全的重要性隨著這些安全事件的出現(xiàn)變得愈發(fā)緊急。目前，通過不斷發(fā)現(xiàn)和利用的新漏洞，使得Web安全漏洞將繼續(xù)成為未來研究和聯(lián)合防御的重點。Web漏洞學習平臺具有完善的漏洞課程和漏洞知識點，并且支持免費的下載工具和實驗練習的詳細過程。管理員可以通過后臺很方便的管理平臺，也可及時更新課程和知識點，滿足用戶的學習需求。2開發(fā)技術(shù)介紹2.1PHPStudy本系統(tǒng)的前端主要結(jié)合了PHP語言來實現(xiàn)頁面的設(shè)計，PHPStudy是一個基于PHP語言的開發(fā)平臺。與其他開發(fā)環(huán)境不同，它有許多標準的插件。通過與應(yīng)用服務(wù)器的集成大大提高了計算速度。PHP是一種快速和清晰的動態(tài)網(wǎng)站開發(fā)的腳本語言。該語法集成其他前沿語言的優(yōu)點，比如簡單快捷、高適應(yīng)性、強兼容性，而正是這些優(yōu)點使得它可以快速運行動態(tài)頁面，進而收到大眾歡迎?，F(xiàn)在大多數(shù)網(wǎng)站都使用PHP腳本語言作為軟件開發(fā)語言，由此看來，PHP腳本語言在最近幾年也是非常流行的，而且還有具有巨大的潛力和開發(fā)價值的。2.2MySQL數(shù)據(jù)庫MySQL是目前屬于Oracle旗下產(chǎn)品的開源數(shù)據(jù)庫管理系統(tǒng)。MySQL采用的是最常用的標準化SQL語言。因為MySQL是一款開源、免費、便捷的數(shù)據(jù)庫，所以一般中小型系統(tǒng)的開發(fā)都選擇使用該數(shù)據(jù)庫。MySQL是將數(shù)據(jù)信息存于不同的數(shù)據(jù)表中，因此提高了效率和應(yīng)用性。MySQL是當今世界使用率最高的開源數(shù)據(jù)庫軟件之一，因其采用大眾化的數(shù)據(jù)庫管理語言和結(jié)構(gòu)化查詢語言。由于其透明、可靠、免費和開放的性質(zhì)，它被認為是PHP的“最佳合作伙伴”。除此之外WampSever的集成環(huán)境選用的就是MySQL軟件，可以說MySQL是最適合PHP的開發(fā)的一款軟件。2.3B/S結(jié)構(gòu)B/S結(jié)構(gòu)是基于瀏覽器和服務(wù)器之間的數(shù)據(jù)交互達成系統(tǒng)功能的實現(xiàn)。當用戶在客戶端輸入信息，客戶端將用戶的行為和數(shù)據(jù)傳輸?shù)椒?wù)器，服務(wù)器端收到請求并作出回應(yīng)，根據(jù)請求的類型決定是返回數(shù)據(jù)還是存儲用戶數(shù)據(jù)。在這個過程中我們通過這一系列的請求從而達成了用戶通過瀏覽器實現(xiàn)數(shù)據(jù)交互。用戶通過瀏覽器可以實現(xiàn)所有想要實現(xiàn)的功能，我們也可以在系統(tǒng)的編碼過程中返回一些對應(yīng)的提示，有著良好的界面交互性可以幫助用戶了解系統(tǒng)。方便用戶快速上手。另外一種開發(fā)架構(gòu)是C/S結(jié)構(gòu)，是基于客戶端和服務(wù)器之間的交互。這個模式的架構(gòu)有著較大的缺陷，遠不如B/S結(jié)構(gòu)簡單高效，因此絕大多數(shù)軟件公司都選用B/S架構(gòu)進行開發(fā)。3系統(tǒng)分析和設(shè)計3.1系統(tǒng)需求分析本系統(tǒng)的前端和后端界面都是通過PHP語言來實現(xiàn)的。系統(tǒng)的主要功能是實現(xiàn)用戶觀看課程視頻和在線測試，課程需要章節(jié)分類，答題需要限制時間和成績查看。系統(tǒng)可分為用戶和管理員兩個角色，用戶需要實現(xiàn)登錄注冊、個人信息的查看修改、課程視頻的查看學習、漏洞文章的查閱、在線測試等功能；管理員需要實現(xiàn)系統(tǒng)、課程、知識、試題庫、測試、用戶的管理等功能。在開發(fā)中要防止出現(xiàn)常見的Web漏洞，確保系統(tǒng)的安全性。3.2系統(tǒng)功能模塊根據(jù)需求分析，最終將該系統(tǒng)從角色劃分為用戶、管理員兩種，每一種角色可以實現(xiàn)的具體功能如下：（1）用戶登錄注冊模塊：用戶登錄系統(tǒng)前需注冊賬戶，注冊成功即可登錄。（2）用戶模塊：用戶可修改個人信息，添加學習課程。（3）課程模塊：用戶可在課程中心添加需要學習的課程，漏洞學習平臺會將用戶的選擇存入數(shù)據(jù)庫中，用戶可在個人中心查看所選課程。（4）測試模塊：用戶在瀏覽試題的同時可以進行試題測試。（5）管理員模塊：管理員擁有最高管理權(quán)，可以對所有的信息進行操作，包括對課程信息、用戶信息、試題庫信息等進行添加、修改和刪除。為更好的服務(wù)用戶，系統(tǒng)中的信息要及時更新和維護，以保障基于PHP的Web漏洞學習系統(tǒng)的性能。用戶：課程中心、漏洞知識、站內(nèi)公告、資源下載、用戶中心，管理員：系統(tǒng)設(shè)置、課程管理、測試管理、知識管理、用戶管理等功能。系統(tǒng)功能結(jié)構(gòu)圖如圖1所示：圖1系統(tǒng)功能結(jié)構(gòu)3.3系統(tǒng)E-R圖在結(jié)構(gòu)設(shè)計中，用戶可以參與數(shù)據(jù)庫系統(tǒng)的開發(fā)和評估，以滿足他們的個性化需求。其中E-R模型方法是最常用的概念模型設(shè)計方法。Web漏洞學習系統(tǒng)管理員可以對課程、試題庫、測試、資源、漏洞知識等進行管理，用戶可以學習觀看視頻、做章節(jié)測試等操作。系統(tǒng)E-R圖如圖2所示：圖2系統(tǒng)E-R圖3.4數(shù)據(jù)庫設(shè)計下面介紹本系統(tǒng)數(shù)據(jù)庫中的各個表的詳細信息。數(shù)據(jù)庫名為Web-vulnerability主要的表有user（用戶表）、content1（課程信息表）、jie（每節(jié)課程章節(jié)表）等，各個表的設(shè)計結(jié)果如下：user表主要用來存放用戶的賬號、密碼、姓名、郵箱、注冊時間等字段，字段id為主鍵，詳細信息如表1：表1user表序號字段名類型長度主鍵是否可空備注123456idaccountnicknamepasswordemailAddtimesmallintvarcharvarcharcharvarchartimestamp5645032500是否否否否否不允許不允許不允許不允許允許不允許ID號用戶名姓名密碼郵箱注冊時間content1表主要存放Web漏洞課程信息，包括課程名稱、課程視頻、課程介紹、上傳時間、課程圖片等字段，字段id為主鍵，詳細信息如表2：表2content1表序號字段名類型長度主鍵是否可空備注123456idvideotitlecontentaddtimeimgintvarcharvarchartexttimestampvarchar10255500050是否否否否否不允許允許允許不允許允許允許ID號課程視頻課程名稱課程介紹上傳時間課程圖片jie表主要存放不同課程下各小節(jié)的信息，包括課節(jié)標題、課程ID號、課節(jié)視頻、上傳時間、課節(jié)介紹、課節(jié)簡介等字段，字段id為主鍵，詳細如表3：表3jie表序號字段名類型長度主鍵是否可空備注123456idtitlecontent1idvideoaddtimecontentintvarcharintvarchartimestamptext1150115000是否否否否否不允許允許允許不允許允許允許ID號課節(jié)標題課程ID號課節(jié)視頻上傳時間課節(jié)簡介4系統(tǒng)設(shè)計與實現(xiàn)4.1用戶登錄注冊模塊系統(tǒng)的用戶端提供登錄注冊功能。注冊頁面需要填寫用戶名、密碼、郵箱、手機號等其他個人信息實現(xiàn)注冊，對輸入的用戶名進行正則限制字符串，判斷用戶名是否存在，對輸入密碼進行MD5加密，對輸入的姓名進行判斷為2-8位的漢字，對輸入Email進行正則判斷以滿足郵件地址的格式，對聯(lián)系電話進行正則判斷以滿足電話號碼格式。如果注冊信息不滿足規(guī)則或用戶名已存在，會提示注冊失敗，返回重新注冊，通過對用戶名的限制和密碼的加密，最后將用戶的注冊信息存入user表中，注冊界面展示如圖3所示。用戶在登錄系統(tǒng)時需要輸入用戶名和密碼，通過對用戶名、密碼、驗證碼的正則判斷是否成功，驗證成功即可登錄，如果用戶名不存在或密碼錯誤等，都會提示登錄錯誤，返回重新登錄，登錄成功后會跳轉(zhuǎn)到網(wǎng)頁首頁，在用戶中心中顯示用戶個人信息。圖3用戶注冊界面4.2用戶功能模塊用戶進入系統(tǒng)后，可以查看平臺上最新課程，但進入系統(tǒng)必須登錄賬號，游客身份無法學習課程，系統(tǒng)會彈出請先登錄的提示框。點擊首頁的more會跳轉(zhuǎn)到課程中心，可查看所有課程，選擇想要學習的課程加入到用戶中心。在用戶中心我的學習中可查看添加的課程，我的課程中有四個字段，分別是課程名稱、查看測試、時間、操作，課程名稱是通過user表和content1表進行多表查詢，兩個表通過user表的id和content1表的content1id進行連接查詢。查看測試是通過對exam表的content1id字段進行分組，查詢課程對應(yīng)的測試題。時間是通過content1表的addtime字段添加課程的時間。操作是通過user表id字段和content1表content1id字段進行刪除操作。最后將查詢的結(jié)果按時間以降序返回到頁面上。系統(tǒng)采用Session進行會話控制，用來維護客戶端和服務(wù)器之間聯(lián)系，用戶在登錄成功時會顯示用戶名。通過使用Session獲取user表id字段的用戶名，用戶的個人信息可在用戶中心的系統(tǒng)設(shè)置中進行修改密碼和資料。修改時輸入的信息是按照用戶注冊的同等規(guī)則進行修改。系統(tǒng)首頁如圖4所示：圖4系統(tǒng)首頁界面4.3課程功能模塊在系統(tǒng)的課程中心界面顯示所有的課程。課程信息保存在content1表中。判斷課程是否加入用戶的學習課程中是通過查詢myjoin表中userid字段對應(yīng)的conten1id課程，通過對數(shù)據(jù)庫中數(shù)據(jù)表的查詢，按加入時間降序顯示在界面上。每門課程下存在多個章節(jié)，每個章節(jié)視頻打開有詳細信息，章節(jié)信息存放在表jie中，通過content1id字段進行分組，按章節(jié)表的id值升序排列在界面上。在課程界面的右邊欄顯示熱門課程，熱門課程為點擊量最多的課程，通過查詢content1表中的id值降序排序，id初始值為0，每次點擊加1，在界面上顯示前6個熱門課程。課程章節(jié)界面展示如圖5所示。圖5課程章節(jié)界面4.4測試功能模塊試題庫的所有信息存放在表danxuan中，章節(jié)測試題是從試題庫中選擇課程對應(yīng)的題目存放在表exam中，用戶答題后提交測試，系統(tǒng)會將數(shù)據(jù)庫中正確的答案與用戶的答案進行對比，測試信息存放在表shijuan中，相等則將分值記錄在表shijuan的scores字段，不相等則scores值為0。測試結(jié)果的總分通過表shijuan和表mykaoshi進行多表查詢，使用sum函數(shù)計算總分。測試有時間限制，使用Math.floor函數(shù)進行倒計時，時間為0時，會自動提交測試，用戶不能繼續(xù)答題。測試界面展示如圖6所示。圖6測試界面4.5管理員功能模塊后臺管理系統(tǒng)是在用戶系統(tǒng)的url后加admin，訪問后將進入后臺系統(tǒng)的首頁，在首頁需要輸入管理員的賬戶和密碼。管理員屬于高級用戶，擁有所有權(quán)，因此可以操作所有的信息。管理員可進行查找并修改賬號密碼的操作，密碼修改必須要滿足正則要求，重復密碼必須要和密碼相一致，避免出現(xiàn)弱口令。修改完提交后將新的密碼進行MD5加密后存入數(shù)據(jù)庫中。后臺系統(tǒng)的用戶管理頁面排列顯示所有用戶的信息，包括用戶名稱、姓名、郵箱、狀態(tài)等信息，同時每個用戶后都有一個操作，操作是對用戶個人信息進行修改或刪除用戶。修改用戶信息通過MySQL的update語句實現(xiàn)，刪除用戶通過MySQL的delete語句實現(xiàn)。課程管理列表包括課程名稱、章節(jié)管理、時間等信息，同時每個課程后都有一個操作，操作是對課程信息進行修改或課程刪除。課程信息的修改是通過$_POST和$_FILES函數(shù)獲取數(shù)據(jù)，課程的圖片和視頻的修改是通過strtolower函數(shù)判斷文件上傳的類型和move_uploaded_file函數(shù)將上傳成功的文件移到相對應(yīng)的文件夾中。課程的刪除是通過表content1的id字段執(zhí)行MySQL的delete語句實現(xiàn)。試題庫管理列表包括題目、難易程度、分值等信息，并且可以對試題進行添加、修改和刪除操作。試題的添加和修改通過insert和update來操作，操作成功會提交到數(shù)據(jù)庫中。測試管理列表包括課程名稱、測試名稱、分數(shù)、試題等信息，并可以對試題進行增刪改查或查看用戶答題成績等操作。測試的生成是通過課程的類別進行分類，分好類后再進行試題管理，在試題管理中可以進行添加和刪除題目，操作成功后提交到數(shù)據(jù)庫的exam表中，最后顯示到用戶端的測試中。管理員還可以對資源、公告、知識等進行管理，在編輯信息時采用了開源的編輯器UEditor對需要上傳的數(shù)據(jù)和文件進行操作，極大的方便對文件內(nèi)容的操作。5系統(tǒng)測試軟件測試與調(diào)試階段在完成基本功能后執(zhí)行。測試的關(guān)鍵步驟包括分析軟件需求、審查設(shè)計規(guī)范和代碼、在軟件調(diào)試前測試軟件以及確保軟件質(zhì)量。測試的過程是在檢查中發(fā)現(xiàn)問題并及時修改。在系統(tǒng)的設(shè)計和實施過程中會出現(xiàn)許多錯誤，主要包括兩種類型：程序的邏輯錯誤和程序設(shè)計的思路錯誤。5.1用戶登錄測試用戶想要登錄，必須在登錄前先注冊帳戶。注冊成功后方可登錄系統(tǒng)，如果用戶輸入的賬號存在或密碼有誤，系統(tǒng)會彈出的錯誤提示信息。只有輸入正確的用戶名和密碼才能登錄成功。登錄功能測試用例如表4所示：表4用戶登錄測試用例功能操作預(yù)期結(jié)果實際結(jié)果是否通過登錄功能用戶輸入不存在的賬號密碼輸入錯誤輸入正確用戶名和密碼系統(tǒng)提示登錄失敗，回顯“賬號或密碼錯誤”用戶不能登錄系統(tǒng)，回顯“賬號或密碼錯誤”登錄成功，頁面跳轉(zhuǎn)到主頁面與預(yù)期結(jié)果相同與預(yù)期結(jié)果相同與預(yù)期結(jié)果相同通過通過通過5.2課程添加模塊功能測試在后臺系統(tǒng)中，管理員可以在課程管理中增添新課程，但不能增添課程名稱一樣的課程，如果添加的課程名稱已經(jīng)存在，系統(tǒng)將顯示相應(yīng)的提示。課程添加模塊功能測試用例如表5所示：表5課程添加測試用例功能操作預(yù)期結(jié)果實際結(jié)果是否通過課程添加輸入已經(jīng)存在的課程名稱輸入未添加過的課程名稱添加失敗，提示課程名稱已存在添加成功，提示“添加成功”與預(yù)期結(jié)果相同與預(yù)期結(jié)果相同通過通過6結(jié)論本文主要描述了基于PHP的Web漏洞學習系統(tǒng)的研究，分析了系統(tǒng)開發(fā)所需的技術(shù)及原理，根據(jù)需求分析該系統(tǒng)劃分為用戶和管理員兩個大模塊，繪制系統(tǒng)功能結(jié)構(gòu)圖、數(shù)據(jù)庫E-R圖。該系統(tǒng)在設(shè)計時，參考了許多出色的網(wǎng)站系統(tǒng)，從頁面設(shè)計到整個系統(tǒng)的設(shè)計為用戶和管理員提供舒適快捷的管理和操作。系統(tǒng)主要采用PHP腳本語言、B/S框架、MySQL、Web等技術(shù)，實現(xiàn)了用戶的登錄注冊、觀看課程視頻、查閱漏洞知識、做章節(jié)測試，管理員的課程管理、試題庫管理、資源管理、用戶管理等功能。同時系統(tǒng)還存在一些不足，比如缺少用戶之間的討論和交流，測試的題目類型比較單一等，針對這些不足，接來還需要對系統(tǒng)的功能進行完善和提高。PAGEPAGE13參考文獻[1]劉倩倩．基于PHP和MySQL的網(wǎng)站設(shè)計與實現(xiàn)[J]．中小企業(yè)管理與科技(下旬刊)，2020(10)：162-163．[2]劉小豫，朱亞兵，聶維．健身房管理系統(tǒng)平臺的開發(fā)[J]．內(nèi)蒙古科技與經(jīng)濟，2019(11)：71+73．[3]和潤生．《PHP+MYSQL動態(tài)網(wǎng)站開發(fā)》課程教學效果提升策略研究[J]．計算機產(chǎn)品與流通，2020(06)：266．[4]江淼，張永濤．高校計算機專