矿大教务系统

矿大教务系统（MVC结构C/S模式）特点：独立性高（一个模块的功能不是同其它模块紧密地联系在一起。功能：学生：｛学生选课，成绩查询，信息维护｝教师：｛成绩管理，论文管理，科研项目｝管理员：｛选课管理，考试报名，毕业设计｝C/S模式：（1） 该系统采用的是C/S模式，Client/Server或客户/服务器模式）：Client和Server常常分别处在相距很远的两台计算机上，Client程序的任务是将用户的要求提交给Server程序，再将Server程序返回的结果以特定的形式显示给用户；Server程序的任务是接收客户程序提出的服务请求，进行相应的处理，再将结果返回给客户程序。（2） C/S结构的优点：是能充分发挥客户端PC的处理能力，很多工作可以在客户端处理后再提交给服务器。对应的优点就是客户端响应速度快。1.应用服务器运行数据负荷较轻。2•数据的储存管理功能较为透明。（3） 缺点：客户端需要安装专用的客户端软件。还有高昂的维护成本且投资大。注意：首先必须强调的是C/S和B/S并没有本质的区别：B/S是基于特定通信协议（HTTP）的C/S架构，也就是说B/S包含在C/S中，是特殊的C/S架构。之所以在C/S架构上提出B/S架构,是为了满足瘦客户端、一体化客户端的需要,最终目的节约客户端更新、维护等的成本，及广域资源的共享。B/S属于C/S，浏览器只是特殊的客户端；C/S可以使用任何通信协议，而B/S这个特殊的C/S架构规定必须实现HTTP协议；•浏览器是一个通用客户端，本质上开发浏览器，还是实现一个C/S系统。MVC结构:MVC全名是ModelViewController，是模型(model)一视图(view)一控制器(controller)的缩写，一种软件设计典范，用一种业务逻辑、数据、界面显示分离的方法组织代码，将业务逻辑聚集到一个部件里面，在改进和个性化定制界面及用户交互的同时，不需要重新编写业务逻辑。MVC被独特的发展起来用于映射传统的输入、处理和输出功能在一个逻辑的图形化用户界面的结构中。MVC结构优点：•耦合性低视图层和业务层分离，这样就允许更改视图层代码而不用重新编译模型和控制器代码，同样，一个应用的业务流程或者业务规则的改变只需要改动MVC的模型层即可。因为模型与控制器和视图相分离，所以很容易改变应用程序的数据层和业务规则。模型是自包含的，并且与控制器和视图相分离，所以很容易改变应用程序的数据层和业务规则。如果把数据库从MySQL移植到Oracle，或者改变基于RDBMS数据源到LDAP，只需改变模型即可。一旦正确的实现了模型，不管数据来自数据库或是LDAP服务器，视图将会正确的显示它们。由于运用MVC的应用程序的三个部件是相互独立,改变其中一个不会影响其它两个，所以依据这种设计思想能构造良好的松耦合的构件。重用性高随着技术的不断进步，需要用越来越多的方式来访问应用程序。MVC模式允许使用各种不同样式的视图来访问同一个服务器端的代码，因为多个视图能共享一个模型,它包括任何WEB(HTTP)浏览器或者无线浏览器(wap)，比如，用户可以通过电脑也可通过手机来订购某样产品，虽然订购的方式不一样，但处理订购产品的方式是一样的。由于模型返回的数据没有进行格式化，所以同样的构件能被不同的界面使用。例如，很多数据可能用HTML来表示，但是也有可能用WAP来表示，而这些表示所需要的命令是改变视图层的实现方式，而控制层和模型层无需做任何改变。由于已经将数据和业务规则从表示层分开，所以可以最大化的重用代码了。模型也有状态管理和数据持久性处理的功能，例如，基于会话的购物车和电子商务过程也能被Flash网站或者无线联网的应用程序所重用。生命周期成本低MVC使开发和维护用户接口的技术含量降低。部署快使用MVC模式使开发时间得到相当大的缩减，它使程序员Java开发人员）集中精力于业务逻辑，界面程序员（HTML和JSP开发人员）集中精力于表现形式上。可维护性高分离视图层和业务逻辑层也使得WEB应用更易于维护和修改。有利软件工程化管理由于不同的层各司其职，每一层不同的应用具有某些相同的特征，有利于通过工程化、工具化管理程序代码。控制器也提供了一个好处，就是可以使用控制器来联接不同的模型和视图去完成用户的需求，这样控制器可以为构造应用程序提供强有力的手段。给定一些可重用的模型和视图，控制器可以根据用户的需求选择模型进行处理，然后选择视图将处理结果显示给用户。（3）MVC结构的缺点没有明确的定义完全理解MVC并不是很容易。使用MVC需要精心的计划，由于它的内部原理比较复杂，所以需要花费一些时间去思考。同时由于模型和视图要严格的分离，这样也给调试应用程序带来了一定的困难。每个构件在使用之前都需要经过彻底的测试。不适合小型，中等规模的应用程序花费大量时间将MVC应用到规模并不是很大的应用程序通常会得不偿失。增加系统结构和实现的复杂性对于简单的界面，严格遵循MVC，使模型、视图与控制器分离，会增加结构的复杂性，并可能产生过多的更新操作，降低运行效率。视图与控制器间的过于紧密的连接视图与控制器是相互分离，但却是联系紧密的部件，视图没有控制器的存在，其应用是很有限的，反之亦然，这样就妨碍了他们的独立重用。视图对模型数据的低效率访问依据模型操作接口的不同，视图可能需要多次调用才能获得足够的显示数据。对未变化数据的不必要的频繁访问，也将损害操作性能。一般高级的界面工具或构造器不支持模式改造这些工具以适应MVC需要和建立分离的部件的代价是很高的，会造成MVC使用的困难。

本系统采用C/S+MVC是合理的，但是还是存在部分问题。例如在网上搜索“获取正方教务管理系统账号密码漏洞”简介：正方教务管理系统C/S客户端与服务器的Socket传输不加密，导致数据库暴露在公众之下。可以通过正方教务管理系统的C/S客户端进行任意账号的登录操作，服务器会返回其账号极其加密后的密码，通过简单的解密即可任意登陆系统，使系统处于危险之中。具体如下所述：1、可以通过旧版的C/S客户端登陆系统，初始化界面，这个时候系统已经登陆到数据库中了。然后任意输入一个账号密码，单击登陆按钮，立即采用抓包工具抓包，可以发现系统已经向服务器发送了一个查询的SQL语句…趴……，丄…=・■■号■e.1.e.c,t.*fr.口.ni**■1v-h,b+Jw.h.e+r+■m・b.二j.e.ry：n.w.c.0.1."・・a.A.d..j-s.<.>.\¥eA'a.n.cl・.仁....1Op... ■…E…*…i”+*G*A.+P5.<.>. ,fU'r?”CLS.P._+q....1Op... ■…E…*…i”+*G*A.+P5.<.>. ,fU'r?”CLS.P._+q\o"CurrentDocument"盘这里的语句是这样子的， JOf )^select*fromyhbwhereOf 丿 J0( J^yhm=Tjwc01randjso1教师'and；0< y常 yhb就是用户表的意思验啦丁\o"CurrentDocument"縮V》学主 J常 yhb就是用户表的意思验啦丁2、这时候因为随意输入的密码，所以会提示您密码输入错误!3、但是••••令人发指的是，抓包发现已经把账号密码发到自己的客户端上来了，截图一枚，这里的密码虽然经过加密，但是加密的方式实在是想让我唾骂一把！很简单，大家自己看着办吧!02400250026002700280029002a0OZbO02c002dO02400250026002700280029002a0OZbO02c002dO02e002f0u-L0444ololg00JS89ODO9b4o7eU5448OO44OO7cU64oooo7d84acU55OOOO544O6c.3■id0400000104444c430049000001000557490000500000044a534d4d000100574944544804000006S34357594S01004900574954460400010002斗斗 斗TS UU-Ji.UUOUUULtLtuu看就在这里,自己翟着办0001霜领巴’哈哈!...材丄n.XXNC..I[ZTH….P■4X**1”” s Wi....ZYMC.'rilDTH..LWKL..I<TH………”J5MM.WIDTH..FCW¥H+,IDTH ..I ..2....D WIDi广~r4、然后，然后就没有然后了，顺手登陆上去了哦! BHAriifiAHA・U«r・Uljll-»rl^・ *fixAW-^bI£fixAW-^bI£2032fJHill ，・岂：!»手!aWT 芒ID嘖鴨口)000003000000022d3101...盂芋发送SQL未加密r« -Ic-cioe8oclO93^T063So703166EUTod004^-78d0030^odod2_cb3053866e3b时mea4acdorx.1—-*-oooooooooooooo5574944.,.080oa1翦返回)000003000000022d3101...盂芋发送SQL未加密r« -Ic-cioe8oclO93^T063So703166EUTod004^-78d0030^odod2_cb3053866e3b时mea4acdorx.1—-*-oooooooooooooo5574944.,.080oa1翦返回结果仍未加密「无语Data:a8oo7f4110071440055400005534005b93Q005645000^4500004uaoud5449B027640003&44COJ-54&0005oQ-00004^4000Ced7Cad4Gboocd000559000000010444010100008004000093000OO5&00004400000寻484930000話盟口010000讯ODooD0go54648oooo0004119203411一lol00400400550000器器皿00器44器010100