1、目 录1. 概述 11.1 研究背景.11.2 研究目标与任务.11.3 研究主要内容.12. 多媒体素材的分类 22.1 当前多媒体素材的分类.22.2 本网站多媒体素材的分类.23. 网站开发相关技术简介 33.1 ASP 的内建对象 .33.2 ASP 与数据库的关系 .44. 网站设计与开发 44.1 网站总体结构设计.44.2 用户注册与管理模块设计与开发.54.3 留言模块设计与开发.74.4 管理员登录与管理模块设计与开发.84.5 关键字搜索设计与开发.94.6 网站建设中的漏洞与安全防范策略设计.105. 测试 135.1 用户登录测试.135.2 功能测试.146. 结束语
2、 15致谢 .15参考文献 .16湖北师范学院教育信息与技术学院 2008 届毕业论文(设计)- 1 -多媒体素材网设计与开发1. 概述1.1 研究背景基于计算机技术与多媒体技术的整合,在网上我们可以看到许多媒体素材网, 由于多媒体素材、CAI 课件中包含大量的图、声、动画、视频等媒体,使得一段素材或一个CAI软件的容量达几十兆或几百兆。 要实现网上运行,必须考虑网络环境下多媒体的特征(特别是视音频格式) 和网络性能。另外,一些多媒体素材网站在下载上传上不尽人意:要下载得先注册,注册好又要收费;或者花了好长时间下载的素材又不是很精美为此,设计多媒体素材网的过程,就是要减少种种不利因素,使网络浏
3、览者有个舒适的环境来浏览网站。1.2 研究目标与任务本课题的研究目标与任务是:设计并实现一个多媒体素材网网站。通过不断让新的网站访问者注册成为会员(不同级别用户权限不同),可以帮助网站广泛搜集网络用户信息,并根据对用户的分析来规划网站的发展,以适应用户的分析来规划网站的发展,以适应用户需求,增强网站的竞争实力。通过提供留言功能,访问者可以以该网站为平台,发表关于一些待定主题的留言,通过网站提供的留言回复功能,从而与不同人士广泛进行讨论。此外,网站超级管理员可以广泛收集访问者在留言部分提出的建议,不断改善网站的功能,延长生命周期。结合实践,理解网页开发技术和数据库的基本知识,学习相关开发工具和应
4、用软件,熟悉网站建设的过程,熟练掌握网络数据库编程方法。1.3 研究主要内容论文共分为五个部分:第一部分,简要介绍了多媒体素材的分类,在当前多媒体素材分类的基础上提出本网站的素材分类。在第二部分中介绍了网站开发的动态技术湖北师范学院教育信息与技术学院 2008 届毕业论文(设计)- 2 -的选择,并简要介绍了ASP技术。第三部分是网页总体设计与实现,借鉴其它素材网站制作经验,对素材网站中的基本功能(用户登录,管理员管理,以及留言板)进行简要设计与实现描述,在网页制作的基础上提出了网站建设中的漏洞与安全防范措施。最后进行测试。2. 多媒体素材的分类2.1 当前多媒体素材的分类多媒体技术的主要特性
5、包括信息媒体的多样性、集成性、交互性和数字化等, 媒体信息从时效上分为为静态媒体和动态媒体, 静态媒体包括文本、图形、图像, 动态媒体包括声音、动画、视频。每一种素材都有多种格式, 常用的素材格式如下:文本素材以两种形式体现: 纯文本和超文本, 按照内容进行选取, 将所选定的内容数字化( 一般为纯文本格式和 WORD 文档) , 存储于资源库中。图形(像 )具有直观、形象的特点, 繁杂的文字表达内容能被简单的图像所替代, 目前存在的图像文件格式有几十种,常用 GIF 和 JPG 图像格式。声音素材主要用来做软件的背景音乐和内容的解说, 常见存储音频信息的文件格式主要有:WAV、MIDI 和 M
6、P3 等格式。视频影像素材生动直观, 富有真实感和感染力, 最容易给人留下深刻的印象, 常常受到学习者的偏爱。借助视频编辑软件对 VCD、DVD 和录像带中相关内容进行视频捕捉、剪辑、加工处理, 从而制成主题突出, 形象生动的视频片断, 视频影像文件格式有多种, 常用的有 AVI、MOV 和 MPEG 等文件, 其中:MPEG 格式是经过压缩后的视频文件格式, 它的文件容量小、对 PC 机的兼容性也比较好, 应用比较广泛。另外随着 Internet 发展而诞生了流式视频文件, 流媒体格式主要为 RealMedia、QuickTime 和 Windows Media 等。2.2 本网站多媒体素材
7、的分类笔者所开发的多媒体素材网,主要根据素材的用途将多媒体素材划分为:网页素材,Flash素材,视频素材,课件素材四大板块。其中,网页素湖北师范学院教育信息与技术学院 2008 届毕业论文(设计)- 3 -材中又划分为logo素材,CSS+HTML,网页背景,网页模板等细小分支;Flash素材又可分为Flash 相册,留言板,新闻公告,动态菜单,播放相关;视频素材里有片头视频素材,景物视频素材,生活视频素材,校园视频素材;课件素材里有Flash课件,课件背景,课件按钮。但是万变不离其宗,在各个分类里,都包含了文本素材,图形素材,声音素材,视频素材。可以说,本素材网只是将文本、图形、声音、视频素
8、材具体化,赋予功能化。3. 网站开发相关技术简介目前比较流行的网络动态技术,有 JSP、ASP 、PHP 等多种。其中,ASP 以其使用简单、网络平台易于搭建和内置对象丰富等优势,成为本网站建设方案的首选。ASP(Active Server Pages) 是一种服务器应用程序环境,意为“活动服务器网页” 。它是微软公司开发的代替 CGI 脚本程序的一种应用程序,可以与数据库和其它程序进行交互,是一种简单、方便的编程工具。使用它,一方面可以创建和运行动态交互的 Web 服务器应用程序,便于日后通过 Active X 技术实现功能扩展 ,可以和类似 SQL 的数据库进行挂接,开发者几乎可以使用所有
9、的开发工具来组合 HTML 代码。另一方面,由微软公司出品的 ASP ,在对 Windows 系列的服务器兼容性上有着先天的优势,而且 ASP 技术使用 VBScript 脚本语言用途广泛,简单易学 ,使网站的制作维护容易上手。这些脚本可以利用本地服务器或远程服务器上运行的组件来存取数据库、应用程序或处理信息。因此,ASP 可以直观、简易地实现强大的 Web 应用程序。当发生页面请求时,系统可以动态地识别这种脚本制作的代码,并将结果及时传送到调用的客户端,供其在所使用的浏览器上浏览。ASP 作为Microsoft 开发的动态网页语言,只能在微软公司的服务器产品中执行,如 IIS ( Inter
10、net Information Server)(Windows NT/ 2000/ 2003)或者 PWS ( Personal Web Server) (Windows 98 现已很少使用) 。通过 ASP 结合 HTML 代码、ASP 指令和 ActiveX 组件,可以建立动态、交互的 Web 服务器应用程序。3.1 ASP 的内建对象ASP 提供了Application 、Session 、Request 、Response 和Server 等5湖北师范学院教育信息与技术学院 2008 届毕业论文(设计)- 4 -个内建对象。其中Application 对象是一个应用程序级的对象,用于在
11、所有用户之间共享信息(计数器程序);Session 对象被用于一个特定用户任务所需的信息,当一个用户访问Web 应用程序时,Session 类型的变量可以提供在该Web 应用的所有页面中共享数据 (用户的权限审核);Request 对象用于从浏览器发往服务器的请求内的所有信息(用户信息的获取);Response 对象用于向客户端浏览器发送数据,用户可以使用该对象将服务器的数据用HTML的格式发送到用户端的浏览器上(动态新闻的显示);Server 对象提供的是对服务器信息的访问。3.2 ASP 与数据库的关系ASP 一个重要的功能,是通过ADO 组件访问数据库。当用户使用浏览器请求ASP 网页时
12、,Web 服务器将调用ASP引擎执行ASP文件通过OL EDB 访问数据库,最后将查询到的内容输出到HTML主页上。ASP访问数据库的步骤,包括定义数据源、使用SQL 语言查询数据库和关闭数据库等。4. 网站设计与开发4.1 网站总体结构设计(1)逻辑结构网站的逻辑结构总体上可以分为前台服务和后台管理两大部分,前台与后台形成一个整体。用户通过浏览器访问前台的网页程序,后台管理程序提供为前台服务程序提供数据库服务系统,管理员负责维护整个网站系统的前后台程序。(2)功能结构前台服务提供的功能包括网页内容浏览和留言板服务;后台管理提供的功能包括素材的上传下载、动态数据库更新和网页源程序修改。为此,网
13、站设置了网页素材、Flash素材、视频素材、课件素材、留言板、本站最新素材、用户登录、站内搜索、最新热门、专题栏目、本站统计、用户排行、友情链接等模块(见图1) 。其中,部分模块结合了后台管理。湖北师范学院教育信息与技术学院 2008 届毕业论文(设计)- 5 -4.2 用户注册与管理模块设计与开发用户注册与管理模块涉及到新用户注册、老用户登录及修改个人资料、会员身份注销及添加素材。网站该模块的基本结构其程序流程如图 2 所示。index.asp网站登录首页index.asp User_ControlPad.asp用户控制面板User_Reg.asp新用户注册User_RegPost.asp登
14、录成功 登录管理注册成功注册失败图 2 网站登录与注册模块程序流程多媒体素材网用户数据表 User字段名 说明UserID 用户 IDUserName 用户名UserSex 性别UserEmail Email 地址homepage 主页QQ QQicq Icqmsn MsnUserPassword 密码湖北师范学院教育信息与技术学院 2008 届毕业论文(设计)- 6 -userQuesion 忘记密码的提示问题userAnswer 问题答案usersign 签名userface 头像userwidth 头像宽度userheight 头像高度JoinDate 注册日期userlogins 登录
15、次数lastlogin 最后登录时间UserLastIP 最后登录 IP主要页面及代码:(1)网站首页登录如图 3 所示主要代码实现:call ShowUserLogin() (2)新用户注册如图 4 所示图 3 用户登录界面图 4 新用户注册界面湖北师范学院教育信息与技术学院 2008 届毕业论文(设计)- 7 -注册提交结果关键代码:if founderr=false thencall RegSuccess()elsecall WriteErrmsg()end if4.3 留言模块设计与开发留言模块主要提供签写留言、查看留言、管理员回复和留言搜索等功能。它们执行的流程如图 5 所示:ind
16、ex.asp网站首页Guestbook.asp查看留言页签写留言页Admin_login.asp管理员登录登录失败页成功失败进入留言模块主要代码如下所示:sub GuestBook()select case Actioncase “write“call WriteGuest()case “savewrite“call SaveWriteGuest()case “reply“call ReplyGuest()case “edit“call EditGuest()case “adminreply“call AdimReplyGuest()case “saveadminreply“图 4 新用户注册
17、界面图 5 留言模块执行流程图Admin_Guest.asp留言回复页湖北师范学院教育信息与技术学院 2008 届毕业论文(设计)- 8 -call SaveAdminReplyGuest()case “del“call DelGuest()case “pass“call PassGuest()case “nopass“call PassGuest()case “user“call ShowAllGuest(3)case elsecall GuestMain()end selectend sub4.4 管理员登录与管理模块设计与开发管理员登录与管理模块主要包括管理员登录和后台管理两个部分。其中
18、,后台管理又包括网页素材管理、Flash 素材管理、视频素材管理、课件素材管理、常规设置、留言板管理、用户管理及上传文件管理。它们的程序流程如图 6 所示。Admin_login.asp管理员登录网页素材管理 动画素材管理 视频素材管理 课件素材管理常规设置留言板管理 用户管理上传文件管理图 6 管理员登录与管理模块流程图主要页面和代码:index.asp网站登录首页湖北师范学院教育信息与技术学院 2008 届毕业论文(设计)- 9 -(1)上传网页素材(2)上传 Flash 素材4.5 关键字搜索设计与开发主要代码:网页素材动画素材视频素材 课件素材4.6 网站建设中的漏洞与安全防范策略设计
19、ASP 作为一种典型的服务器端网页设计技术,被广泛应用在网站建设中。而Access 数据库作为微软推出的以标准 JET 为引擎的桌面型数据库系统,由于具有操作简单、界面友好等特点,具有较大的用户群。因此,将 Access 与 ASP 结合使用是目前中小型网站建设的首选方案。但是,该解决方案在为望站建设带来便捷的同时,也带来了严峻的安全问题。4.6.1 安全隐患分析Access与ASP解决方案的主要安全隐患一方面来自Access数据库的安全性,其次在于ASP网页设计过程中的安全意识。(1)数据库可能被下载数据库是网站运营的基础,网站的重要信息都存放在网站数据库中,如果非法用户通过各种方法获得或者
20、猜到数据库(*.mdb)的存储路径和文件名,则该数据库就可能通过地址“URL/ 数据库所在路径名 / 数据库名.mdb”被下载到本地。这样,网站中的许多重要信息会被一览无余,安全后果不堪设想。上述问题一种广为使用的保护措施往往是将Access数据库文件的后缀名由“. mdb”改为“. asp”,接着再修改数据库连接文件 (如conn.asp) 中的数据库地址内容,这样即使别人知道数据库文件的文件名和存储位置,就错误地认为无法进行下载了。它的理论基础是因为“.mdb ”文件不会被 IIS服务器处理,而是直接将内容输出到Web 浏览器,而 “.asp”文件则要经过 IIS 服务器处理,Web浏览器
21、显示的是处理结果,并不是ASP文件的内容。湖北师范学院教育信息与技术学院 2008 届毕业论文(设计)- 11 -但这种方法仍可通过FlashGet被完整下载,方法是在存储路径的 “重命名”栏中输入带后缀的.mdb可顺利下载了。这说明单纯地将数据库文件名的后缀“.mdb”改为“.asp”,还是存在安全隐患的。(2)数据库可能被解密有些网站将所使用的Access 数据库在存储时采用了系统自带的加密方法,但由于 Access 数据库的加密机制比较简单,解密起来也很容易。因为该数据库系统是通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串,并将其存储在*.mdb 文件从地址“&H42 ”
22、开始的区域内。由于异或操作的特点是“经过两次异或就恢复原值”,因此,用这一密钥与*.mdb 文件中的加密串进行第二次异或操作,就可以轻松地编制解密程序,从而获得(3)ASP 页面的安全性欠考虑 ASP源代码存在安全性隐数据库可能被解密由于ASP程序采用非编译性语言,大大降低了程序源代码的安全性。任何用户只要进入站点,就可以获得ASP 源代码;同时对于租用服务器的用户,因个别服务器出租商的职业道德问题,也会造成ASP应用程序源代码泄露。 程序设计中容易被忽视的安全性问题ASP 代码使用表单实现交互,而相应的内容会反映在浏览器的地址栏中,如果不采用适当的安全措施,只要记下这些内容,就可以绕过验证直
23、接进入重要页面。例如在浏览器中敲入“.page.asp?x=1”,即可不经过表单页面直接进入满足“x = 1”条件的页面。4.6.2 安全防范措施(1)防止数据库被下载毕竟Access只能用于小型数据库的解决方案,它存在很多先天不足,特别是在安全方面。但只要做好一些防范措施,还是可是确保网站的安全性的。其中最重要的应当是有效地防止数据库被下载。以下 3 种方法简单而有效。 非常规命名法为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下,这样非法用户想通过猜测的方式得到Access 数据库文件名就很难了。此方法湖北师范学院教育信息与技术学院 2008 届毕业论文(设计)- 12
24、 -适合于那些租用Web空间的用户使用。这种方法的不足之处是非法用户一旦查看到数据库连接文件(如conn.asp)中的内容,再复杂的文件名也无济于事。 使用ODBC数据源使用 ODBC 数据源方法,即使连接文件的内容外泄,他人也只能知道网站程序所使用的 ODBC 数据源名称,而数据库文件的存储路径和文件名却无法找到。这种方法的不足之处是不适合于租用 Web 空间的用户使用,要想使用 ODBC数据源方法,必须要有管理和维护 IIS 服务器的权限。 改变数据库的存储位置一般情况下,Access 数据库文件存放在相应的 Web 目录中,很多非法用户就是利用这种规律来查找并下载数据库文件。因此可以采用
25、改变数据库文件存储位置的方法,将数据库文件存放在Web 目录以外的某个文件夹中,接着修改好数据库连接文件(如conn.asp)中的数据库文件相应信息。即使攻击者通过连接文件找到数据库文件的存储路径,由于数据库文件存放在Web 目录以外的地方,攻击者就无法通过 HTTP 方式下载数据库文件。现在一般的租用的 Web 空间都有3个文件夹,它们是:databases、logfiles、wwwroot,很显然第一个文件夹是放置数据库的,第二个文件夹是存放注册文件,第三个文件夹则是存放网站程序的。对于用户浏览器端,只能显示wwwroot文件夹中的程序信息,而没有权限直接获取data-bases 中的数据
26、文件。(2)把数据库进行 MD5 加密先从网上下载一个 MD5.asp 程序,作为加密数据库用,然后在用户登录页面最上边插入这样一句:,接着在登录程序中找到大概这样一句话:pass=request(“pass“) ,把它改成 pass=md5(request(“pass“)。这样,数据库即使被下载了,破解的难度也很大。(3)对 ASP 页面进行加密为有效地防止 ASP 源代码泄露,可以对 ASP 页面进行加密。可采用两种方法对ASP 页面进行加密。一是使用组件技术将编程逻辑封装入 D L L 之中;二是使用微软的 ScriptEncoder对ASP 页面进行加密。使用组件技术湖北师范学院教育信
27、息与技术学院 2008 届毕业论文(设计)- 13 -存在的主要问题是每段代码均需组件化,操作比较繁琐,工作量较大,而使用 Encoder 对 ASP 页面进行加密,操作简单、收效良好。ScriptEncoder 的运行程序是 SCRENC.EXE。该方法具有许多优点,一是操作简单,二是可以批量加密文件,三是修改的HTML 仍具有很好的可编辑性。这是由于ScriptEncoder 只加密在 HTML 页面中嵌入的 ASP 代码,其他部分仍保持不变,照常可以利用网页编辑工具软件对H T M L 部分进行修改、完善。(4)利用 session 对象进行注册验证为防止未经注册的用户绕过注册界面直接进
28、入应用系统,可采用 Session 对象进行注册验证,防 Cookie 伪造。Session 对象最大的优点是可以把某个用户的信息保留下来,让后续的网页读取。还可把进行类似攻击的人重定向到别的页面去,让非法用户知难而退。(5)防 post 攻击和文件上传为防止黑客把登录页面拉到自己本地中,然后修改一些参数再次提交,这时页面的全部数据过滤都在表单上,这是很危险的。常见的例子就是留言本,可进行 post 提交数据。解决的方法是编制如下的一段代码,可检查对方提交的URL是否来自外部:dimserver_v1,server_v2server_v1=cstr(request.servervariable
29、s(“http_referer“)server_v2=cstr(request.servervariables(“server_name“)ifmid(server_v1,8,len(server_v2)0thenresponse.write“漏洞已补“:response.end。湖北师范学院教育信息与技术学院 2008 届毕业论文(设计)- 14 -5. 测试5.1 用户登录测试(1)普通用户登录测试(图 7)(2)管理员登录测试(图 8)5.2 功能测试(1)上传功能测试(图 9)图 7 普通用户登录测试图 8 管理员登录测试湖北师范学院教育信息与技术学院 2008 届毕业论文(设计)-
30、15 -(2)下载功能测试(图 10)6. 结束语多媒体素材网只是针对网页设计者、动画制作者、视频制作者及课件制作者提供素材的网站。而不同行业的人需要素材的种类也不尽相同。因此,本素材网不能满足所有人的需求。这点还有待加强。在整个制作过程中,涉及到ASP技术,在最后一部分提到的Access 与ASP在网站建设中的漏洞与防范措施,也在网站制作中已经进行防范。网站及论文的不足之处,也请读者多多包涵。致谢感谢我的指导老师田俊老师在我整个毕业论文过程中给予的大力支持图 9 上传功能测试图 10 下载功能测试湖北师范学院教育信息与技术学院 2008 届毕业论文(设计)- 16 -和精心指导,田老师耐心修改了我的毕业论文初稿,并提出了很多建设性的意见和建议;感谢我的同学在论文规范格式方面给予的帮助和指导。在此表示衷心地感谢!参考文献1陈海林.多媒体素材的采集与处理M. 北京:清华大学出版社 .2004.52王若章.构建基于校园网的多媒体素材库和课件库J. 泉州师范学院学报 .2003.53唐红亮.ASP 动态网页设计应用教程M.北京:电子工业出版社 .2006.34刘瑞新.ASP 编程基础及应用教程M.北京:机械工业出版社 .2005.25李维杰.Dreamweaver & ASP 数据库网站开发教程M.北京:清华大学出版社.2006.86素材站 http:/ .asp7好素材 http:/
