图4-6 “我的订单”页面
4.5 后台管理模块
此模块只供系统管理员进入,首先显示登录页面,系统管理员必须输入正确的用户名和密码,才能进入本模块。本模块的结构如图4-7所示。
后 台 管理 注册用户管理 图书管理 订单管理 公告栏管理 图4-7 后台管理模块
4.5.1 注册用户管理
(1)查看、修改注册用户:用于查看注册用户的个人资料,修改注册用户的有效性(未审、已审、禁用)。
系统首先分页显示全部注册用户的个人资料,每页显示30位注册用户,每位注册用户占一行,页面结构如图4-8所示,其中AA带有超链接,当单击AA超链接时,就会显示用户名AA的修改页面。
17
删除 □ :
用户名 AA :
真实姓名 BB :
密码 CC :
有效性 已审 :
图4-8 注册用户一览表
(2)删除注册用户:当选中每行的复选框,再单击页面底部的【删除】按钮,即可永久地删除注册用户的个人资料。当选中“全选”复选框,则可将本页的全部注册用户资料删掉。删除考生资料时,还要同时删除该用户的订单信息。 4.5.2 图书管理
(1)添加图书:包括单个添加图书、批量添加图书两种方式,“单个添加图书”模块用于录入书店新采购的图书资料,包括书号、图书名、内容、作者、出版社、出版年月、单价、折扣率、库存量、图片、类别、点击数、是否新书、是否热门、图书简介。系统必须提供一个机制,保证管理员录入的出版年月、类别的规范化。
“批量添加图书”模块适用于多个记录的添加,它将book.xls文件上传到站点的指定目录中,再将book.xls文件中的“图书”工作表导入到数据库的图书表中,然后自动删除上传到站点的Excel文件,如图4-9所示。
图4-9批量添加图书
实现算法如下:
设在FileUpload控件的 ID名为\,单击“上传Excel数据到数据库中”按钮就触发下面事件。
protected void Update_Click(object sender, EventArgs e) {
//上传“book.xls”,若服务器已存在同名的文件,则覆盖之。 String strPath=Server.MapPath(\ FileUpload1.SaveAs(strPath); //将Excel工作表插入到数据库中。 string str =
18
Convert.ToString(ConfigurationManager.ConnectionStrings[\ SqlConnection con = new SqlConnection(str); string
sql
=
\
INTO
图
书
表
SELECT
*
FROM
OpenRowSet('microsoft.jet.oledb.4.0','Excel 8.0;DATABASE=\* from [图书表$]')\
SqlCommand cmd = new SqlCommand(sql,con); con.Open(); try {
cmd.ExecuteNonQuery(); } catch {
//把上传错误的文件删除
File.Delete(strPath);//若指定的文件不存在,则忽略此方法。 //转到报错页
Server.Transfer(\ }
con.Close();
LabelResult.Text = \批量插入成功!\ File.Delete(strPath); } }
(2)修改图书:用于查询、修改书店库存图书的资料。 (3)删除图书:用于删掉书店库存图书的资料。 4.5.3 订单管理
订单管理是系统管理最重要的部分。网上书店系统作为商业系统,与财务打交道显得尤其重要。订单管理模块有两个子模块组成:查看订单,删除订单。查看订单是查看所有用户的订单,包括已付款与未付款的。查看订单也是采用分页显示技术。删除订单是当用户已提交了订单可是又不想再购买了,那就把其订单删除。这是站在用户立场设计的部分,让用户有更多选择的空间。 4.5.4 公告栏管理
公告栏是首页的组成部分,网站新闻动态,时事等信息都是在公告栏公告。
19
公告栏管理模块包括三个子模块:添加公告,删除公告,更新公告。新公告添加成功后,将会在显示在公告栏的顶部。按发布时间的先后顺序来排序显示。
20
5 万能密码问题
万能密码指的是有些非法用户使用所谓的万能密码成功登录网站的情况。许 多网站在数据库中建立一张表用于存放用户名和密码以便用户的合法性验证,若 把对用户名和用户密码的验证放在了同一条语句就会导致的一个漏洞,而使用所 谓的万能密码就会使得这个条件判断语句恒为“真”。
例如,在登录验证中用以下SQL语句:
sql=\* from 注册用户表 where 用户名='\and 密码='\
若构造一个特殊的密码,如:be' or '1'='1 ,用户名为任意值,这时SQL语句变成:
sql=\系统用户表 where 用户名='2' and 密码='be' or '1'='1'\
因为or是逻辑“或”运算符,在判断两个条件时,只要其中一个条件成立,复合条件就会成立,上面select语句的条件总是成立的。
采用万能密码以后,即使使用非法的用户名或密码也可成功登录系统。解决方案是:使用javascript脚本,首先检查是否输入用户名或密码,若用户名或密码不空,则继续检查是否包含非法字符(如\,、“or”等)。若包含非法字符,则提醒用户重新输入,相应代码为: