毕业论文--电子商务网站安全技术论述.doc

资源描述

电子商务网站整体结构及安全技术论述本科生毕业论文（设计）题目：电子商务网站整体结构及安全技术论述 The whole structure of e-commerce Web site and safe practice are described 目录摘要……………………………………………………………………… 4 Abstract……………………………………………………………………… 5 第一章引言………………………………………………………………… 6 1.1 何为电子商务………………………………………………………………… 6 1.1.1电子商务定义……………………………………………………………… 6 1.1.2电子商务类型……………………………………………………………… 6 1.1.3电子商务的优势与商机……………………………………………………… 6 第二章电子商务网站的前端系统…………………………………………………… 6 2.1一般会员管理…………………………………………………………………… 6 2.1.1网络电子商店前台基本功能………………………………………………… 6 2.1.2网络电子商店前台系统程序基本结构……………………………………… 6 2.1.3文件结构…………………………………………………………………… 6 2.1.4数据结构…………………………………………………………………… 6 2.1.5会员系统…………………………………………………………………… 9 2.1.6注册会员系统……………………………………………………………… 10 2.1.7结束语……………………………………………………………………… 11 2.2商品展示……………………………………………………………………… 11 2.2.1商品展示…………………………………………………………………… 11 2.2.2关键词查询………………………………………………………………… 11 2.2.3商品详细资料……………………………………………………………… 12 2.2.4结束语……………………………………………………………………… 12 2.3购物车及结帐系统………………………………………………………………12 2.3.1购物车工作………………………………………………………………… 12 2.3.2结帐系统…………………………………………………………………… 14 2.4历史订单查询………………………………………………………………… 14 2.4.1历史订单查询……………………………………………………………… 14 2.4.2历史订单详细资料查询…………………………………………………… 14 2.4.3结束语……………………………………………………………………… 14 第三章电子商务网站后端管理系统…………………………………………………… 14 3.1基本数据管理……………………………………………………………………14 3.1.1商品类别数据维护………………………………………………………… 14 3.1.2商品基本数据维护………………………………………………………… 14 3.1.3供应商数据维护…………………………………………………………… 15 3.1.4结束语…………………………………………………………………………………15 3.2交易数据管理………………………………………………………………… 15 3.2.1订单数据维护……………………………………………………………… 15 3.2.2出货数据控制……………………………………………………………… 15 3.2.3结束语……………………………………………………………………… 15 第四章电子商务网站安全技术………………………………………………………… 15 4.1程序本身的完善……………………………………………………………… 15 4.1.1数据库的安全……………………………………………………………… 15 4.1.2模块的封装……………………………………………………………… 16 4.1.3网上跟踪…………………………………………………………………… 16 4.2 IE的设置…………………………………………………………………………20 4.2.1COOKIES技术……………………………………………………………… 20 4.2.2IE的安全设置……………………………………………………………… 21 参考文献………………………………………………………………………………… 21 附录A系统使用说明…………………………………………………………………… 21 摘要电子商务网站是现在和未来的一种购物方式，他将会给人们带来越来越多的方便。本文将首先从结构上对网站的设计有一个总体上的思想，包括网站的前端的会员管理模块和后端的数据维护模块，这是任何一个网站所必备。但我还是把一些内容放在安全技术的论述上，当安全越来越成为当今网站的一个突出主题时，我们不得不在安全上下大功夫，让我们的网站成为您的一方净土。一个电子商务网站，从好处上说它可以带给我们更加快捷的生活方式和提供更加方便的人性化服务，但从坏处上说它将我们的隐私更加暴露无遗，我们需要把我们的真实姓名、身份证号甚至连我们的银行帐户提供给商家。我们不得不怀疑网络上是否安全，别人是否会利用我的帐户在购买商品，我们上网时有没有被别人跟踪。在这一切没有解决之前我们的顾客是不愿意在网上购物时，我们应该怎么办？本文将从电子网站的整体设计的同时来考虑怎样来减少我们网站的安全漏洞。关键词：电子商务网站 20 Abstract The e-commerce Web site is now and kind of shopping way in the future，He will bring more and more convenience to people。At first at structure design this text in the Web site there is a thought generally，Including the data that the member in the front of the Web site managed the module and back end maintain the module，This is indispensability of any Web site，But I put some content on the argumentation of the safe practice，When safe to nowadays become a theme of stressing of the Web site more and more，Let our Web site become your pure land of party。 An e-commerce Web site，Speak it and can bring a swifter life style to us and offer more convenient humanization to serve from advantage，Say it at to have not as completely exposed personal secrets further we from harm。We need to offer our true name and ID card number and our bank account to the trade company。We have to suspect whether it is safe on the network or not，Whether others will utilize my account to buy the goods，We have been followed by others while surfing the Net。The customer without we before solving is unwilling while doing shopping on the net in all these，How should we do？This text will be from coming to consider at the time of the global design of the electronic Web site how to reduce the security loophole of our Web site。 The keyword: E-commerce Web site 第一章引言 1.1何为电子商务电子商务的时代已经来临，网际风格风潮所带来的优势与商机，彻底改变了传统的企业经营类型。许多非信息产业的企业也投入了这场战争之中，您可以在网络上看到各式各样的商业网站林立，像搜索引擎、网络购物中心、网络社区、网上证券公司等。这样的趋势在未来将继续蓬勃发展，进入电子化的21世纪！ 1.1.1电子商务的定义今天您在各种媒体上都可以看到许多电子商务的相关报道，电子商务几乎是信息科技应用的代名词。到底什么是“电子商务”？简单说就是“将传统的交易的行为转移到网络上来进行”，也就是整合了商业运作中的资金流（金钱的流动）、物流（商品实体的转移）以及信息流（信息的传递），以电子传递的形式通过网络来完成交易的模式。 1.1.2电子商务的类型我们可以将电子商务分为两大类： 1）企业与企业之间的交易（Business to Business）主要是针对企业内部以及企业之间的信息整合。举个例子来说，在过去企业内部的作业流程大多依赖人工处理，如今企业信息化已经成竞争力的主要构成；许多公司通过“企业内部网络”（Intranet）架设信息流通的基础，将库存、采购、会计、行销、出货等作业流程加以整合，有效地提高企业生产力。除此之外，通过网络的连接，企业间网络（Extranet）更可以结合产业的上、中下游厂商，实现“全球供应链”（Global Supply Chain）的理想。 2）企业与客户的交易（Business to Customer）意指企业通过网络，为客户提供各种交易与服务。客户用计算机连接因特网后可以取得各式各样的网上实时服务，包括商品查询、产品支持、实时财经信息报导、网上订货等等。 1.1.3电子商务的优势与商机 1）信息流通与共享在一个以网络为基础的社会，电子化的信息可以迅速地传递与流通，这样的特征是商业行销的最佳利器。在过去我们必须负担昂贵的广告成本，很有限地将信息传播出去。然而网际网络的出现，使我们在弹指之间便能将信息传递到世界各地。 2）市场广大无界限以购买书籍为例，当我们想要寻找所要的书时，在过去必须要一家一家的书店慢慢找，而且范围也只限于邻近地区；但现在我们只要轻轻松松坐在家里上网，用鼠标点一点就可以找到我们想要的东西。这样的交易模式意味着商业领域的扩展，网际网络的出现完全打破了地区的限制，所谓“天涯若比邻”正是最佳写照。第二章电子商务网站的前端系统 2.1一般会员管理 2.1.1网络电子商店前台的基本功能 1、会员系统：基本会员注册、会员登录认证。 2、商品陈列系统：商品模糊查询、商品详细数据介绍。 3、添加商品到采购车、采购车内容的删除修改。 4、结帐系统：订单内容的确定及送货付款方式的选择。 5、订单查询系统：根据会员的登录查出会员历史订单及订单的详细信息。期望通过这五大系统来建立一个功能完整的电子商店前台系统。 2.1.2网络电子商店前台系统程序基本结构前端应用程序接口，包含各种扩展名为aspx及ascx文件 ————————> <———————— 各种商业对象，包含各种扩展名VB编译成DLL的文件 ————————> <———————— SQL SERVER或 ACCESS数据库上图是实现网络电子商店的程序运行的基本结构，这种运行结构就是所谓的三层式结构，此种结构最主要的是将前台接口、商业对象及数据库独立分开，将此三者分开，程序运行起来有更大的灵活性，前台接口只负责数据的表现，ASP.NET本身就提供了许多表现数据的WEB CONTROL让你很轻松就可以完成前台数据库表现接口设计。至于商业对象就是负责将一些商业逻辑运算封装到对象，对象中运算方法则最主要是当作后台数据库与前台接口的桥梁，ASP.NET也提供很简单的方法让您建立、修改及布置商业对象。至于数据库，最主要的功能就是存储数据，就像微软的产品来说最有名的前台数据库就是Access了，最有名的后台数据库就是大名鼎鼎的SQL SERVER，在此网络电子商店系统选择的数据库是SQL SERVER。 2.1.3文件结构根据系统分析的结果,将分为三个部分来说明 1) 有关ASCX文件部分： (1)_head.ascx：负责窗口标题的pagelet； (2)_class.ascx：负责表现商品类的pagelet； (3)_TopItems.ascx：负责最畅销的手机的pagelet； 2) 有关ASPX文件部分： (1)CartAdd.aspx：将商品放入采购车； (2)CheckOut.aspx：结帐处理程序； (3)Default.aspx：网站默认的主页； (4)Login.aspx：会员登录程序； (5)Member.aspx：会员注册程序； (6)OrderDetails.aspx：历史订单详细资料； (7)OrderList.aspx：历史订单总结； (8)MobileDetails.aspx：手机详细数据； (9)MobileList.aspx：手机陈列； (10)Cart.aspx：采购出处理程序； (11)LogoOut.aspx：注销程序； (12)Index.aspx：会员默认主页；他们之间的关系是： Default.aspx——>Login.aspx或menber.aspx——>MobileList.aspx——>MobileDetails.aspx——>CartAdd.aspx——>Cart.aspx——>CheckOut.aspx——>OrderList.aspx——>Loginout.aspx——>index.aspx （注:由于我对将功能块直接写到网页中,因此没有了写VB文件） 2.1.4数据库结构（estroe.mdb）根据系统分析的结果我们将此系统分为九个数据表来说明，如表2-1到2-9所示。表2-1 会员数据表（Customer）字段名称数据类型主键说明 Customer_NO 自动编号 * 客户编号 Customer_Name 文本客户名称 Customer_ID 文本客户帐号 Customer_Psd 文本密码 Customer_Birthday 日期/时间生日 Customer_Sex 文本性别 Customer_Address 文本地址 Customer_Email 文本电子邮件 Customer_RegDate 日期/时间注册日期 Customer_Tel 文本电话表2-2 商品类别数据表（Class）字段名称数据类别主键说明 Class_No 自动编号 * 类别编号 Class_Name 文本类别名称表2-3商品数据表（Product）字段名称数据类型主键说明 Poduct_No 自动编号 * 商品编号 Product_Name 文本商品名称 Class_No 数字类别编号 Supplier_No 数字供货商编号 Product_Price 数字商品价格 Product_Picture 文本商品图片 Product_Des 备注商品描述表2-4采购车（ShoppingCart）字段名称数据类型主键说明 Cart_No 自动编号 * 采购车编号 Cart_ID 文本采购车ID Cart_Qty 数字货物数量 Product_No 数字商品编号 Cart_Date 日期/时间建立日期表2-5订单主文件（Orders）字段名称数据类型主键说明 Order_No 自动编号 * 订单编号 Customer_ID 文本客户帐号 Order_Date 日期/时间订购日期 Payment_No 数字付款方式编号 Translate_No 数字运送方式编号 Order_address 文本送货地址表2-6订单详细信息文件（Order_List）字段名称数据类型主键说明 Order_No 数字 * 订单编号 Order_ItemNo 自动编号 * 详细信息文件编号 Product_No 数字商品编号 Product_Price 数字商品单价 Product_Qty 数字订购数量表2-7供货商（Supplier）字段名称数据类型主键说明 Supplier_NO 自动编号 * 供货商编号 Supplier_Name 文本供货商名称 Supplier_Address 文本供货商地址 Supplier_Manager 文本负责人 Supplier_Contact 文本联系人 Supplier_Tel 文本电话 Supplier_Email 文本电子邮件表2-8付款方式（Payment）字段名称数据类型主键说明 Payment_No 自动编号 * 付款方式编号 Payment_Name 文本付款方式名称表2-9送货方式（Translate）字段名称数据类型主键说明 Translate_No 自动编号 * 运送方式编号 Translate_Name 文本运送方式名称他们之间的关系如下： product表的字段Product_No、Class_No、Supplier_No分别对应ShoppingCart表与Order_List表的Product_No、Class表的Class_No和Supplier表的Supplier_No； Orders表的字段Order_No、Customer_ID、Payment_No、Translate_No分别对应Order_List表的Order_No、Customer表的Customer_ID、Payment表的Payment_No和Translate表的Translate_No； 2.1.5会员系统一般的会员系统，不外乎是收集客户的数据，发送电子简报，然后从电子简报中夹带公司的广告信息促销办法，最新消息发布，以便让顾客随时知道公司的最新动态，以让公司及个人掌握商机。通常会员注册系统有分为需要客户进来打开启用码的和只是输入基本数据。通常需要起用码的系统，都是对客户数据要求比较准确的，所以要确定电子邮件信箱是正确的，以便将系统生成的启用码送到客户的信箱，然后客户再根据这个启用码连上网站，输入启用码，正式起用这个帐号。不过一般网站的会员系统只是输入基本数据，对客户数据要求准确性的要求不高，相对得成为会员的步骤也比较简单。要建立一个电子商务网站，首先要先建立会员管理系统，因为电子商务网站对于会员数据的准确性要求比较高，所以决定使用起用码的方式来打开帐号，然后用此会员管理系统来收集客户的信息，分析客户的购买行为，对客户作一对一的行销，发电子邮件，寄促销信。由于我做的网站没有放到万维网上，所以没有动用启用码，但我必须谈一下这方面的技术，下面是我做的一个起用码，说的简单点就是要求用户必须填写正确的数据，通过邮件的方式来加以确认。 Public Function AddMemenber ( fullName as string, UserID as String , Password as string, sex as string, Birthday as string, tel as string, address as string, email as string) as string Dim conn as OleDbConnection=new OleDbConnection(ConfigurationSetting.AppSetting(“DSN”)) ‘生成启用码 Dim beginCode as integer Randomize beginCode=CInt(10000000*((9*Rnd)+1)) Dim SQL As String SQL="Insert into Customer(Customer_Name,Customer_ID,Customer_Pwd,Customer_Sex," SQL=SQL+"Customer_Birthday,Customer_Tel,Customer_Address,Customer_Email,Customer_Code) " SQL=SQL + "values('" & fullName & "','" & userID & "','" & password & "','" & sex & "'," SQL=SQL + "'" & Birthday & "','" & Tel & "','" & Address & "','" & Email & "','" & BeginCode & "')" Dim myCommand As OleDbCommand = new OleDbCommand(SQL, myConnection) conn.Open() myCommand.ExecuteNonQuery() Try Dim mail As MailMessage = New MailMessage mail.To = Email mail.From = "whz_35@" mail.Subject = "启用码" mail.Body = cstr(BeginCode) SmtpMail.Send(mail) Finally conn.Close() End Try Return UserID.ToString() End Function 生成启用码也就是利用随机数的方式生成，这一段程序就是当用户输入数据后，跟着我们就利用寄信组件SmtpMail发送启用码到会员的电子邮件地址，要注意的是使用寄信组件SmtpMail必须引入System.Web.Mail名字空间程序才能正常运行。 2.1.6注册会员系统系统安全，首先是顾客资料的安全，在顾客成为本网站的会员时，我们必须对顾客的资料进行加密，在ASP.NET中提供了加密的功能。名字空间System.Web.Security中包含了类FormsAuthentication，其中有一个方法HashPasswordForStoringInConfigFile。这个方法可以将用户提供的字符变成乱码，然后存储起来。注意此方法是不能继承的。如下图：是我做的一个用户注册页面，简单明了。下面的代码就是在做注册页面时将数据加密后存储到数据库的过程 Imports System.Web.Security Imports System.Data Imports System.Data.SqlClient '////////所需要的名称空间 Private Sub Button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button1.Click Dim PassFormate As String '///////////////EncryptPassword调用函数 PassFormate = EncryptPassword(uid.Text, "md5")'////或者是EncryptPassword(uid.Text,"sha1") 'TextBox2.Text = EncryptPassword(uid.Text, "md5") 'TextBox3.Text = EncryptPassword(uid.Text, "sha1") '///////////这些大家自己试验吧 'TextBox4.Text = FormsAuthentication.FormsCookieName 'TextBox5.Text = FormsAuthentication.FormsCookiePath 'TextBox6.Text = FormsAuthentication.GetRedirectUrl(uid.Text, True) 'FormsAuthentication.SetAuthCookie(uid.Text, True) Dim sql As String = "insert into pwd(uid,pwd) values(@uid,@pwd)" Dim comm As SqlCommand = New SqlCommand(sql, conn) conn.Open() comm.Parameters.Add(New SqlParameter("@uid", SqlDbType.Char, 16)) comm.Parameters("@uid").Value = uid.Text comm.Parameters.Add(New SqlParameter("@pwd", SqlDbType.Char, 16)) comm.Parameters("@pwd").Value = PassFormate comm.ExecuteNonQuery() End Sub '////////////////定义加密函数，可以随时调用。 Function EncryptPassword(ByVal password As String, ByVal passwordformate As String) If passwordformate = "sha1" Then EncryptPassword=FormsAuthentication.HashPasswordForStoringInConfigFile(password,"sha1") ElseIf passwordformate = "md5" Then EncryptPassword = FormsAuthentication.HashPasswordForStoringInConfigFile(password, "md5") Else EncryptPassword = "" End If End Function 至于用户的验证也是一样的思路了。 2.1.6结束语在互联网上会员管理是非常常用的功能,但是希望我们在了解并引用外,更要加以扩充和加密。我们可以用SLL将数据加密，这部分可以用windows2000系统安全功能来增强。 2.2商品展示在上一节中已经介绍了系统的内容(包含文件的结构、功能)，并说明会员管理的内容。在这节中将说明电子商城的商品展示部分，这属于电子商城用户前端。 2.2.1商品查询商品分类查询功能应具有： 1）、利用_Class.ascx产生各分类 2）、查询各分类的商品在这里我们建立_Class.ascx这个Pagelet，做一个Pagelet的最主要用意，就是实现模块化，把经常会用到的程序接口包装成一个Pagelet，那么以后如果程序中要用到则可以直接引用就可以了。_class.ascx最主要的用意就是将商品分类的class数据表的数据显示出来。代码在代码目录中，这里就不详述了。 2.2.2关键词查询关键词查询应具备如下功能: 1）、利用_Head.ascx产生查询界面 2）、根据用户输入关键词查询各商品 _Head.ascx是一个Pagelet对象，Pagelet对象的作用，前面已经说明了，在此抽出有关查询接口的部分，程序代码如下： <form method="post" action="Search.aspx" id="frmSearch" name="frmSearch"> <input type="text" name="txtSearch" ID="txtSearch" SIZE=10> <input type="submit" value="查询商品" id=image1 name=image1> </form> 其实这是一段简单的HTML Form 的语句，而这个Form的Action指向search.aspx，所以查询和显示都会在search.aspx中处理。代码在代码目录中，这里就不详述了。 2.2.3商品详细资料商品详细资料是利用Mobilelist.aspx传入的参数找出商品的详细资料，在商品陈列系统中，通常商品在陈列的时候为了一次可以显示较多的数据所以第一次查询出来的商品都只是做一个简单的解释，不会显示商品的所有的细节，用户对某个商品有兴趣然后再让用户利用一个超级链接去看商品的详细的资料，而mobileDetails.aspx就是显示商品详细资料的程序。 2.2.4结束语在互联网上商品展示是一种非常常见的功能，但是希望在我们了解并引用外，能加以扩充，创造出更友善的接口，让用户更快容易找到商品，并充分了解商品。 3）将数据显示出来如下图：是我做的一个结账系统的页面截图具体程序不在祥述，代码在代码目录中。 2.4历史订单查询完成了前面的系统，但是考虑到客户完成了商品的采购，有一天也许想看看历史订单，统计一下一共购买了多少商品以便作为下一次采购商品时的参考，我们在网络电子商店的前端系统加入了历史订单查询系统，好让消费者能查询自己的历史订单。 2.4.1历史订单查询由前述可知,历史订单除了让客户自行查阅外,更可以用来了解客户的消费习惯及兴趣,他大致流程如下： 1）先从系统中取得 customerID 2）利用CustomerID取得订单数据具体程序不在祥述，代码在代码目录中。 2.4.2历史订单详细资料查询除了可以让用户查询以前消费的订单金额外，也可以让其查询每笔订单的详细资料，所以历史订单资料查询流程大致如下： 1）先从Request.Params(“OrderId”)取得OrderID 2）利用此OrderID取得每张订单的详细数据 3）将数据显示出来具体程序不在祥述，代码在代码目录中。 2.4.3结束语现在以将整个前台的系统完成，但需要我们不断不完善它。第三章电子商店后端管理系统 3.1基本数据管理一个电子商城系统，除了前台的用户操作界面外，更重要的就是后台的商城管理系统了，所以在接下来我们将着重论述后端数据库的维护，简单来说就是对数据库的数据执行添加、修改、删除、查询操作，通过查询的方法可以知道所输入的数据是否正确，通过添加的方法，可以往数据库中添加数据，通过修改的方法，可以把数据修改成正确的值，通过删除的方法，可以删除不必要的数据，这四种方法是数据库操作的基本的方法，也是开发应用程序在数据维护所必备的。我将分三部分： 1、商品类别数据维护 2、商品基本数据维护 3、供应商数据维护如下图：这是一个商品后台管理的进入界面 3.1.1商品类别数据维护商品类别数据维护就是通过查询具体某类别，在找到以后可以对其删除和进行修改，另外在做一个“添加数据”的按钮可以增加其中的类别。具体的程序在代码目录中，这里不详述。 3.1.4结束语在这节中的三个功能模块表达了进、销、存中的重要的三种数据，也是一般MIS系统中常见的程序。 3.2交易数据管理交易是一家公司的重要的记录，也是公司赚钱的来源，交易数据维护包含订单数据维护和出货数据维护。 3.2.1订单、数据维护订单数据维护是MIS最主要的一个程序，没有订单公司就无法生存，所以订单程序也是所有MIS人员必须学习的一个程序。数据结构包含出货表（supplierDetail）、出货暂存表（suppliertime）、供货商基本表（supplier）、出货单号表（outputsupplier）。其流程如下： Click订单资料维护——>选取相关信息——>按“查询”——>按“转发”——>结果放在DataGrid上——>订单取消可以把所有的项目删除/按“删除”可以把所选的清除/按“订单确认”来转发 3.2.2出货数据维护出货数据维护其流程如下： Click出货数据控制——>选取相关数据然后“查询”——>按一下“详细”即可看到详细的数据 3.2.2结束语在传统的交易下会有进货和出货，但需要费用，现在我们用虚拟的商城来做为商店，省去了一般的商店需要租场地的费用，及利用了网络无极限的概念，只需通过下订单给供应商，然后有供应商来帮我们出货给客户，以达到零库存的目的。第四章电子商务网站的安全技术完成电子商务网站的设计只是完成我们工作的第一步，接下来我们将谈论电子商务网站的安全的技术。 4.1程序本身的完善 4.1.1数据库的安全 1)配置Web.config文件，将数据库连接直接写入其中，然后在外面程序加以调用，具体方法为：在<configuration>之间加 1、Access

展开阅读全文