用ASP设计收发文管理系统

核心提示： 2、使用Session进行登录验证ASP代码使用表单实现交互，而相应的内容会反映在浏览器的地址栏中，用ASP设计收发文管理系统(4)，如果不采用适当的安全措施，只要记下这些内容，而使用Encoder对ASP页进行加密，操作简单，就可以绕过验证直接进入某一页面，例如在浏览器中敲入&ldquo

2、使用Session进行登录验证

ASP代码使用表单实现交互，而相应的内容会反映在浏览器的地址栏中，如果不采用适当的安全措施，只要记下这些内容，就可以绕过验证直接进入某一页面。例如在浏览器中敲入“...xx.asp?flag=1”，即可不经过表单页面直接进入满足“flag=1”条件的页面。

为防止未经注册的用户绕过注册界面直接进入应用系统，我们采用Session对象进行注册验证。例如，我们制作了下面的注册页面。

＜%’读取用户登录的信息
Luser=ltrim(Request("User"))
Lpass=Request("Pass")
’检验帐号和密码是否正确
if Luser=rs(“userid”) and Lpass= rs(“password”) then
Session("sysuser")=Luser ’使用Session对象进行用户登录验证
…
else
response.write “您的输入不正确！”
response.end
end if
%＞

在应用系统的其他WEB页，首先要进行Session对象的验证。如果你未通过用户登录界面，那么Session("sysuser")就为空值，你将无法使用系统提供的任何功能，除非你是合法用户才可，这样就在一定程度上保证了系统的安全性。其验证代码如下：

＜%
if session("sysuser ")="" then
response.write("对不起，你还没有＜a href='../login.asp' target='_top'＞登录＜/a＞。")
else
…
end if
%＞

3、对ASP页面进行加密

为有效的防止ASP源代码泄露，可以对ASP页面进行加密。我们曾采用两种方法对ASP页面进行加密。一是使用组件技术将编程逻辑封装入DLL之中；二是使用微软的ScriptEncoder对ASP页面进行加密。使用组件技术存在的主要问题是每段代码均需组件化，操作比较繁琐，工作量较大，而使用Encoder对ASP页进行加密，操作简单，收效良好。