电子商务网站安全技术论述论文

1、本科生毕业论文（设计）论文（设计）题 目：电子商务网站整体结构及安全技术论述（The whole structure of e-commerce Web site and safe practice are described ）目录摘要 4Abstract 5第一章引言 61.1何为电子商务 61.1.1电子商务定义 6 1.1.2电子商务类型 61.1.3电子商务的优势与商机 6第二章 电子商务网站的前端系统 62.1一般会员管理 62.1.1网络电子商店前台基本功能 62.1.2网络电子商店前台系统程序基本结构 62.1.3文件结构 62.1.4数据结构 62.1.5会员系统 92.1.

2、6注册会员系统 102.1.7结束语 112.2商品展示 112.2.1商品展示 112.2.2关键词查询 112.2.3商品详细资料 122.2.4结束语 122.3购物车及结帐系统122.3.1购物车工作 122.3.2结帐系统 142.4历史订单查询 142.4.1历史订单查询 142.4.2历史订单详细资料查询 142.4.3结束语 14第三章电子商务网站后端管理系统 143.1基本数据管理143.1.1商品类别数据维护 143.1.2商品基本数据维护 143.1.3供应商数据维护 153.1.4结束语153.2交易数据管理 153.2.1订单数据维护 153.2.2出货数据控制 15

3、3.2.3结束语 15第四章电子商务网站安全技术 154.1程序本身的完善 154.1.1数据库的安全 154.1.2模块的封装 164.1.3网上跟踪 164.2 IE的设置204.2.1COOKIES技术 204.2.2IE的安全设置 21参考文献 21附录A系统使用说明 21 摘 要电子商务网站是现在和未来的一种购物方式，他将会给人们带来越来越多的方便。本文将首先从结构上对网站的设计有一个总体上的思想，包括网站的前端的会员管理模块和后端的数据维护模块，这是任何一个网站所必备。但我还是把一些内容放在安全技术的论述上，当安全越来越成为当今网站的一个突出主题时，我们不得不在安全上下大功夫，让我

4、们的网站成为您的一方净土。一个电子商务网站，从好处上说它可以带给我们更加快捷的生活方式和提供更加方便的人性化服务，但从坏处上说它将我们的隐私更加暴露无遗，我们需要把我们的真实姓名、身份证号甚至连我们的银行帐户提供给商家。我们不得不怀疑网络上是否安全，别人是否会利用我的帐户在购买商品，我们上网时有没有被别人跟踪。在这一切没有解决之前我们的顾客是不愿意在网上购物时，我们应该怎么办？本文将从电子网站的整体设计的同时来考虑怎样来减少我们网站的安全漏洞。关键词：电子商务网站 AbstractThe e-commerce Web site is now and kind of shopping way i

5、n the future，He will bring more and more convenience to people。At first at structure design this text in the Web site there is a thought generally，Including the data that the member in the front of the Web site managed the module and back end maintain the module，This is indispensability of any Web s

6、ite，But I put some content on the argumentation of the safe practice，When safe to nowadays become a theme of stressing of the Web site more and more，Let our Web site become your pure land of party。An e-commerce Web site，Speak it and can bring a swifter life style to us and offer more convenient huma

7、nization to serve from advantage，Say it at to have not as completely exposed personal secrets further we from harm。We need to offer our true name and ID card number and our bank account to the trade company。We have to suspect whether it is safe on the network or not，Whether others will utilize my ac

8、count to buy the goods，We have been followed by others while surfing the Net。The customer without we before solving is unwilling while doing shopping on the net in all these，How should we do？This text will be from coming to consider at the time of the global design of the electronic Web site how to

9、reduce the security loophole of our Web site。The keyword: E-commerce Web site 第一章引言1.1何为电子商务电子商务的时代已经来临，网际风格风潮所带来的优势与商机，彻底改变了传统的企业经营类型。许多非信息产业的企业也投入了这场战争之中，您可以在网络上看到各式各样的商业网站林立，像搜索引擎、网络购物中心、网络社区、网上证券公司等。这样的趋势在未来将继续蓬勃发展，进入电子化的21世纪！1.1.1电子商务的定义 今天您在各种媒体上都可以看到许多电子商务的相关报道，电子商务几乎是信息科技应用的代名词。到底什么是“电子商务”？简

10、单说就是“将传统的交易的行为转移到网络上来进行”，也就是整合了商业运作中的资金流（金钱的流动）、物流（商品实体的转移）以及信息流（信息的传递），以电子传递的形式通过网络来完成交易的模式。1.1.2电子商务的类型我们可以将电子商务分为两大类：1）企业与企业之间的交易（Business to Business）主要是针对企业内部以及企业之间的信息整合。举个例子来说，在过去企业内部的作业流程大多依赖人工处理，如今企业信息化已经成竞争力的主要构成；许多公司通过“企业内部网络”（Intranet）架设信息流通的基础，将库存、采购、会计、行销、出货等作业流程加以整合，有效地提高企业生产力。除此之外，通过网

11、络的连接，企业间网络（Extranet）更可以结合产业的上、中下游厂商，实现“全球供应链”（Global Supply Chain）的理想。2）企业与客户的交易（Business to Customer） 意指企业通过网络，为客户提供各种交易与服务。客户用计算机连接因特网后可以取得各式各样的网上实时服务，包括商品查询、产品支持、实时财经信息报导、网上订货等等。1.1.3电子商务的优势与商机1）信息流通与共享在一个以网络为基础的社会，电子化的信息可以迅速地传递与流通，这样的特征是商业行销的最佳利器。在过去我们必须负担昂贵的广告成本，很有限地将信息传播出去。然而网际网络的出现，使我们在弹指之间便能

12、将信息传递到世界各地。2）市场广大无界限以购买书籍为例，当我们想要寻找所要的书时，在过去必须要一家一家的书店慢慢找，而且范围也只限于邻近地区；但现在我们只要轻轻松松坐在家里上网，用鼠标点一点就可以找到我们想要的东西。这样的 交易模式意味着商业领域的扩展，网际网络的出现完全打破了地区的限制，所谓“天涯若比邻”正是最佳写照。 第二章电子商务网站的前端系统2.1一般会员管理2.1.1网络电子商店前台的基本功能1、 会员系统：基本会员注册、会员登录认证。2、 商品陈列系统：商品模糊查询、商品详细数据介绍。3、 添加商品到采购车、采购车内容的删除修改。4、 结帐系统：订单内容的确定及送货付款方式的选择。

13、5、 订单查询系统：根据会员的登录查出会员历史订单及订单的详细信息。期望通过这五大系统来建立一个功能完整的电子商店前台系统。2.1.2网络电子商店前台系统程序基本结构前端应用程序接口，包含各种扩展名为aspx及ascx文件Login.aspx或menber.aspxMobileList.aspxMobileDetails.aspxCartAdd.aspxCart.aspxCheckOut.aspxOrderList.aspxLoginout.aspxindex.aspx（注:由于我对将功能块直接写到网页中,因此没有了写VB文件）2.1.4数据库结构（estroe.mdb）根据系统分析的结果我们

14、将此系统分为九个数据表来说明，如表2-1到2-9所示。表2-1 会员数据表（Customer）字 段 名 称数 据 类 型主 键说 明Customer_NO自动编号*客户编号Customer_Name文本客户名称Customer_ID文本客户帐号Customer_Psd文本密码Customer_Birthday日期/时间生日Customer_Sex文本性别Customer_Address文本地址Customer_Email文本电子邮件Customer_RegDate日期/时间注册日期Customer_Tel文本电话表2-2 商品类别数据表（Class）字 段 名 称数 据 类 别主 键说 明C

15、lass_No自动编号*类别编号Class_Name文本类别名称表2-3商品数据表（Product）字 段 名 称数 据 类 型主 键说 明Poduct_No自动编号*商品编号Product_Name文本商品名称Class_No数字类别编号Supplier_No数字供货商编号Product_Price数字商品价格Product_Picture文本商品图片Product_Des备注商品描述表2-4采购车（ShoppingCart）字 段 名 称数 据 类 型主 键说 明Cart_No自动编号*采购车编号Cart_ID文本采购车IDCart_Qty数字货物数量Product_No数字商品编号Car

16、t_Date日期/时间建立日期表2-5订单主文件（Orders）字 段 名 称数 据 类 型主 键说 明Order_No自动编号*订单编号Customer_ID文本客户帐号Order_Date日期/时间订购日期Payment_No数字付款方式编号Translate_No数字运送方式编号Order_address文本送货地址表2-6订单详细信息文件（Order_List）字 段 名 称数 据 类 型主 键说 明Order_No数字*订单编号Order_ItemNo自动编号*详细信息文件编号Product_No数字商品编号Product_Price数字商品单价Product_Qty数字订购数量表2

17、-7供货商（Supplier）字 段 名 称数 据 类 型主 键说 明Supplier_NO自动编号*供货商编号Supplier_Name文本供货商名称Supplier_Address文本供货商地址Supplier_Manager文本负责人Supplier_Contact文本联系人Supplier_Tel文本电话Supplier_Email文本电子邮件表2-8付款方式（Payment）字 段 名 称数 据 类 型主 键说 明Payment_No自动编号*付款方式编号Payment_Name文本付款方式名称表2-9送货方式（Translate）字 段 名 称数 据 类 型主 键说 明Transl

18、ate_No自动编号*运送方式编号Translate_Name文本运送方式名称他们之间的关系如下：product表的字段Product_No、Class_No、Supplier_No分别对应ShoppingCart表与Order_List表的Product_No、Class表的Class_No和Supplier表的Supplier_No；Orders表的字段Order_No、Customer_ID、Payment_No、Translate_No分别对应Order_List表的Order_No、Customer表的Customer_ID、Payment表的Payment_No和Translate

19、表的Translate_No；2.1.5会员系统一般的会员系统，不外乎是收集客户的数据，发送电子简报，然后从电子简报中夹带公司的广告信息促销办法，最新消息发布，以便让顾客随时知道公司的最新动态，以让公司及个人掌握商机。通常会员注册系统有分为需要客户进来打开启用码的和只是输入基本数据。通常需要起用码的系统，都是对客户数据要求比较准确的，所以要确定电子邮件信箱是正确的，以便将系统生成的启用码送到客户的信箱，然后客户再根据这个启用码连上网站，输入启用码，正式起用这个帐号。不过一般网站的会员系统只是输入基本数据，对客户数据要求准确性的要求不高，相对得成为会员的步骤也比较简单。要建立一个电子商务网站，首

20、先要先建立会员管理系统，因为电子商务网站对于会员数据的准确性要求比较高，所以决定使用起用码的方式来打开帐号，然后用此会员管理系统来收集客户的信息，分析客户的购买行为，对客户作一对一的行销，发电子邮件，寄促销信。由于我做的网站没有放到万维网上，所以没有动用启用码，但我必须谈一下这方面的技术，下面是我做的一个起用码，说的简单点就是要求用户必须填写正确的数据，通过邮件的方式来加以确认。Public Function AddMemenber ( fullName as string, UserID as String , Password as string, sex as string, Birth

21、day as string, tel as string, address as string, email as string) as stringDim conn as OleDbConnection=new OleDbConnection(ConfigurationSetting.AppSetting(“DSN”)生成启用码Dim beginCode as integerRandomize beginCode=CInt(*(9*Rnd)+1)Dim SQL As StringSQL=Insert into Customer(Customer_Name,Customer_ID,Custom

22、er_Pwd,Customer_Sex,SQL=SQL+Customer_Birthday,Customer_Tel,Customer_Address,Customer_Email,Customer_Code) SQL=SQL + values( & fullName & , & userID & , & password & , & sex & ,SQL=SQL + & Birthday & , & Tel & , & Address & , & Email & , & BeginCode & )Dim myCommand As OleDbCommand = new OleDbCommand

23、(SQL, myConnection)conn.Open()myCommand.ExecuteNonQuery()Try Dim mail As MailMessage = New MailMessage mail.To = Email mail.From = whz_35 mail.Subject = 启用码mail.Body = cstr(BeginCode)SmtpMail.Send(mail)Finallyconn.Close()End TryReturn UserID.ToString()End Function生成启用码也就是利用随机数的方式生成，这一段程序就是当用户输入数据后，跟

24、着我们就利用寄信组件SmtpMail发送启用码到会员的电子邮件地址，要注意的是使用寄信组件SmtpMail必须引入System.Web.Mail名字空间程序才能正常运行。2.1.6注册会员系统系统安全，首先是顾客资料的安全，在顾客成为本网站的会员时，我们必须对顾客的资料进行加密，在ASP.NET中提供了加密的功能。名字空间System.Web.Security中包含了类FormsAuthentication，其中有一个方法HashPasswordForStoringInConfigFile。这个方法可以将用户提供的字符变成乱码，然后存储起来。注意此方法是不能继承的。如下图：是我做的一个用户注册

25、页面，简单明了。下面的代码就是在做注册页面时将数据加密后存储到数据库的过程Imports System.Web.SecurityImports System.DataImports System.Data.SqlClient /所需要的名称空间Private Sub Button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button1.Click Dim PassFormate As String /EncryptPassword调用函数 PassFormate = EncryptPa

26、ssword(uid.Text, md5)/或者是EncryptPassword(uid.Text,sha1) TextBox2.Text = EncryptPassword(uid.Text, md5) TextBox3.Text = EncryptPassword(uid.Text, sha1) /这些大家自己试验吧 TextBox4.Text = FormsAuthentication.FormsCookieName TextBox5.Text = FormsAuthentication.FormsCookiePath TextBox6.Text = FormsAuthenticatio

27、n.GetRedirectUrl(uid.Text, True) FormsAuthentication.SetAuthCookie(uid.Text, True)Dim sql As String = insert into pwd(uid,pwd) values(uid,pwd) Dim comm As SqlCommand = New SqlCommand(sql, conn) conn.Open() comm.Parameters.Add(New SqlParameter(uid, SqlDbType.Char, 16) comm.Parameters(uid).Value = uid

28、.Text comm.Parameters.Add(New SqlParameter(pwd, SqlDbType.Char, 16) comm.Parameters(pwd).Value = PassFormate comm.ExecuteNonQuery() End Sub /定义加密函数，可以随时调用。 Function EncryptPassword(ByVal password As String, ByVal passwordformate As String) If passwordformate = sha1 Then EncryptPassword=FormsAuthenti

29、cation.HashPasswordForStoringInConfigFile(password,sha1) ElseIf passwordformate = md5 Then EncryptPassword = FormsAuthentication.HashPasswordForStoringInConfigFile(password, md5) Else EncryptPassword = End IfEnd Function至于用户的验证也是一样的思路了。2.1.6结束语在互联网上会员管理是非常常用的功能,但是希望我们在了解并引用外,更要加以扩充和加密。我们可以用SLL将数据加密，

30、这部分可以用windows2000系统安全功能来增强。2.2商品展示在上一节中已经介绍了系统的内容(包含文件的结构、功能)，并说明会员管理的内容。在这节中将说明电子商城的商品展示部分，这属于电子商城用户前端。2.2.1商品查询商品分类查询功能应具有：1）、利用_Class.ascx产生各分类2）、查询各分类的商品在这里我们建立_Class.ascx这个Pagelet，做一个Pagelet的最主要用意，就是实现模块化，把经常会用到的程序接口包装成一个Pagelet，那么以后如果程序中要用到则可以直接引用就可以了。_class.ascx最主要的用意就是将商品分类的class数据表的数据显示出来。代

31、码在代码目录中，这里就不详述了。2.2.2关键词查询关键词查询应具备如下功能:1）、利用_Head.ascx产生查询界面2）、根据用户输入关键词查询各商品_Head.ascx是一个Pagelet对象，Pagelet对象的作用，前面已经说明了，在此抽出有关查询接口的部分，程序代码如下： 其实这是一段简单的HTML Form的语句，而这个Form的Action指向search.aspx，所以查询和显示都会在search.aspx中处理。代码在代码目录中，这里就不详述了。2.2.3商品详细资料 商品详细资料是利用Mobilelist.aspx传入的参数找出商品的详细资料，在商品陈列系统中，通常商品在

32、陈列的时候为了一次可以显示较多的数据所以第一次查询出来的商品都只是做一个简单的解释，不会显示商品的所有的细节，用户对某个商品有兴趣然后再让用户利用一个超级链接去看商品的详细的资料，而mobileDetails.aspx就是显示商品详细资料的程序。2.2.4结束语在互联网上商品展示是一种非常常见的功能，但是希望在我们了解并引用外，能加以扩充，创造出更友善的接口，让用户更快容易找到商品，并充分了解商品。2.3购物车及结帐系统 一般的电子商务网站购物车系统，就象我们逛超级市场推着一部购物车一样，看到喜欢的东西就会把它放入购物车里面，如果逛到一半发现有更好的东西，您可能会将原来的东西放回架上，也有可能

33、一起买回去，逛到最后摸摸口袋发现忘了带钱包，只好将购物车的东西一一放回，购物车系统就是要作到很容易添加商品到购物出，修改及删除购物车中的商品。 结帐系统最主要的功能就是结帐和运送，在超级市场我们将东西防入购物车接着就是到柜台结帐，结完帐以后我们就可以高高兴兴地将东西带回去，可是在网络电子商店就不能这样做，这一个原因就是结帐，也就是资金流，在超级市场您可以用现金或是信用卡，而在网络电子商场就只能用邮局汇款、银行转帐、信用卡。第二原因就是运送，也就是物流，在超级市场您也可以自己将东西提回家，但是在网络电子商店就只能利用其他的物流系统，例如邮局或是货运公司。在网络电子商店上如果要处理资金流通常要面对

34、许多问题，例如付款机制问题、收单银行问题、网络传输安全问题，常常是需要大量商家和消费者相互配合才能够完成。至于物流方面更是需要物流厂商的配合，例如我们在网络电子商店收到一笔订单，如果消费者用信用卡利用SSL方式在线刷卡，商家也取得授权码，代表这笔订单的资金流部分部分已经完成，但接下来的物流部分我们是不是要将这笔订单交给物流厂商，物流厂商根据送货地址将商品送到消费者手里，然后物流厂商再将货物送达到客户的信息传给网络电子商店，网络电子商店才可以将此订单正式结案。所以每个环节都需要大力协调厂商的配合才能完成。在我们的这个网络电子商店的结帐系统，只做到结帐的时候用户输入付款及送货的资料订单数据中，已便

35、让商家得到这些信息。2.3.1购物车工作根据上述说明,所以添加商品到购物车的流程如下：1）先从系统取得CartID2）添加商品数据到购物车3）显示购物车内容 Function getshoppingCartID() as string 得CartID Dim Context as System.web.HttpContext=system.web.HttpContext.Current If context.User.Identity.Name then return context.user.Identity.NameEnd ifEnd Function利用以上程序得CartID。再利用Re

36、quest.Params(“Product_NO”)来从地址栏中接收URL参数，判断是否接到值，如果有值就将此商品编号以参数形式传到AddItem函数， 在AddItem函数中我们先将接受前端传入的三个参数，然后利用参数CartID和ProductId组合成一个SQL查询字符串，查询ShoppingCart数据表是否有此商品存在，如果有则算出此商品的数量，再调用AddItem1函数来更新ShoppingCart数据表，接着将网页连接到Cart.aspx来显示购物车的数据,程序如下：sub AddItem(Cart_Id as String,ProductId as Integer,quanti

37、ty as Integer)AddItem函数 Dim Conn as OleDbConnection Dim Provider=Provider=Microsoft.Jet.OLEDB.4.0 Dim DataBase=Data Source= & Server.MapPath(./data/estroe.mdb) conn=New OleDbConnection(Provider & ; & DataBase) conn.open() Dim cmd as OleDBCommand Dim sql=Select Count(Product_No) as Num From ShoppingC

38、art Where Product_No= & ProductI& and Cart_Id= & Cart_ID & cmd=new oleDbCommand(sql,conn) Dim Rd as OleDbDataReader Rd=cmd.ExecuteReader() Dim Qty as Integer While Rd.Read() Qty=CInt(Rd.Item(Num) End While Rd.Close() conn.Close() AddItem1(Cart_Id,ProductID,1,Qty) End SubAddItem1函数sub AddItem1(Cart_I

39、d as string,ProductId as Integer,Quantity as Integer,Num as Integer)Dim Conn as OleDbConnection Dim Provider=Provider=Microsoft.Jet.OLEDB.4.0 Dim DataBase=Data Source= & Server.MapPath(./data/estroe.mdb) conn=New OleDbConnection(Provider & ; & DataBase) conn.open() Dim Cmd as OleDbCommand If Num0 th

40、en Dim sql=Update ShoppingCart Set Cart_Qty=Cart_Qty+1 Where Product_No= & ProductId & And Cart_Id= & Cart_Id & cmd=New OleDbCommand(sql,conn) else Dim sql1=Insert Into ShoppingCart(Cart_Id,Cart_Qty,Product_No) Values( & Cart_Id & , & Quantity & , & ProductID & ) cmd=New OleDbCommand(sql1,conn) End

41、If cmd.executeNonQuery() conn.Close() End Sub .2.3.2结帐系统既然用户已经完成购物,接下来就要进行结帐工作了,结帐工作流程如下：1）先从系统取得CartID2）利用CartID来获取ShoppingCart数据表的商品3）将数据显示出来如下图：是我做的一个结账系统的页面截图具体程序不在祥述，代码在代码目录中。2.4历史订单查询 完成了前面的系统，但是考虑到客户完成了商品的采购，有一天也许想看看历史订单，统计一下一共购买了多少商品以便作为下一次采购商品时的参考，我们在网络电子商店的前端系统加入了历史订单查询系统，好让消费者能查询自己的历史订单。2

42、.4.1历史订单查询由前述可知,历史订单除了让客户自行查阅外,更可以用来了解客户的消费习惯及兴趣,他大致流程如下：1）先从系统中取得 customerID2）利用CustomerID取得订单数据具体程序不在祥述，代码在代码目录中。2.4.2历史订单详细资料查询除了可以让用户查询以前消费的订单金额外，也可以让其查询每笔订单的详细资料，所以历史订单资料查询流程大致如下：1）先从Request.Params(“OrderId”)取得OrderID2）利用此OrderID取得每张订单的详细数据3）将数据显示出来具体程序不在祥述，代码在代码目录中。2.4.3结束语现在以将整个前台的系统完成，但需要我们不

43、断不完善它。第三章电子商店后端管理系统3.1基本数据管理一个电子商城系统，除了前台的用户操作界面外，更重要的就是后台的商城管理系统了，所以在接下来我们将着重论述后端数据库的维护，简单来说就是对数据库的数据执行添加、修改、删除、查询操作，通过查询的方法可以知道所输入的数据是否正确，通过添加的方法，可以往数据库中添加数据，通过修改的方法，可以把数据修改成正确的值，通过删除的方法，可以删除不必要的数据，这四种方法是数据库操作的基本的方法，也是开发应用程序在数据维护所必备的。我将分三部分：1、商品类别数据维护2、商品基本数据维护3、供应商数据维护如下图：这是一个商品后台管理的进入界面3.1.1商品类别

44、数据维护商品类别数据维护就是通过查询具体某类别，在找到以后可以对其删除和进行修改，另外在做一个“添加数据”的按钮可以增加其中的类别。具体的程序在代码目录中，这里不详述。3.1.2商品基本数据维护功能与“商品类别数据维护”差不多，也是通过查询找到你要找的商品。然后再进行删除或修改的操作，然后加了一个“添加数据”的按钮可以增加每一类别的的商品。具体的程序在代码目录中，这里不详述。3.1.3供应商数据维护功能其实同上。具体的程序在代码目录中，这里不详述。3.1.4结束语在这节中的三个功能模块表达了进、销、存中的重要的三种数据，也是一般MIS系统中常见的程序。3.2交易数据管理交易是一家公司的重要的记录，也是公司赚钱的来源，交易数据维护包含订单数据维护和出货数据维护。3.2.1订单、数据维护订单数据维护是MIS最主要的一个程序，没有订单公司就无法生存，所以订单程序也是所有MIS人员必须学习的一个程序。数据结构包含出货表（supplierDetail）、出货暂存表（suppliertime）、供货商基本表（supplier）、出货单号表（outputsupplier）。其流程如下：Click订单资料维护选取相关信息按“查询”按“转发”结果放在DataGrid上订单取消可以把所有的项目删除/按“删除”可以把所选的清除/按“订单确认”来转发3.2.2出货数据维护出货数据维护其流程如下：Cl