開發(fā)WEB應(yīng)用程序的可靠性和安全性探討

朱玲彥

摘 要： 隨著我國計算機(jī)技術(shù)水平的飛速提升，及電商行業(yè)的蓬勃發(fā)展，人們對WEB應(yīng)用程序的重視程度及應(yīng)用需求越來越高。同時也對WEB應(yīng)用程序的開發(fā)提出了更高要求。雖然現(xiàn)階段計算機(jī)行業(yè)對網(wǎng)絡(luò)安全的研究較為成熟，但針對WEB應(yīng)用程序開發(fā)過程中如何提高該程序可靠性與安全性的研究卻相對較少。為了提高WEB應(yīng)用程序的安全性和可靠性水平，全面優(yōu)化程序設(shè)計過程中的不足之處，文章針對WEB應(yīng)用程序開發(fā)過程中需要注意的安全性與可靠性問題展開了討論與探究，以為開發(fā)者進(jìn)行WEB應(yīng)用程序開發(fā)的相關(guān)工作提供指導(dǎo)。

關(guān)鍵詞：開發(fā)；WEB應(yīng)用程序；可靠性；安全性

中圖分類號：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號：2095-2945（2017）27-0195-02

我國綜合國力的提升極大地帶動了計算機(jī)及互聯(lián)網(wǎng)行業(yè)的進(jìn)步，尤其是在全球化的時代背景下，我國的計算機(jī)及互聯(lián)網(wǎng)行業(yè)不斷引進(jìn)先進(jìn)技術(shù)，緊跟國際一流水平的前進(jìn)腳步。其中，WEB應(yīng)用程序的開發(fā)應(yīng)用也取得了可喜的成績與突破。WEB應(yīng)用程序在使用時，只需通過普通瀏覽器，即可實(shí)現(xiàn)其功能。相對于其他應(yīng)用程序而言，避免了在各個計算機(jī)上進(jìn)行對應(yīng)的開發(fā)軟件的安裝的繁瑣步驟。此外，相比于其他應(yīng)用程序，WEB應(yīng)用程序具有只要在聯(lián)網(wǎng)條件下就能實(shí)現(xiàn)遠(yuǎn)程信息處理與傳輸?shù)膬?yōu)勢。但WEB應(yīng)用程序也因其分布與遠(yuǎn)程交互的特性，使得WEB的應(yīng)用程序的數(shù)據(jù)穩(wěn)定性和數(shù)據(jù)的安全性問題更為復(fù)雜。病毒攻擊、網(wǎng)絡(luò)詐騙、信息流失等現(xiàn)象的一再出現(xiàn)，使得大量WEB站點(diǎn)成為了WEB應(yīng)用程序安全問題不完善的受害者。這就需要對WEB應(yīng)用程序使用過程中的出現(xiàn)的可靠性與安全性問題進(jìn)行系統(tǒng)全面的總結(jié)，以提出WEB應(yīng)用程序開發(fā)過程中應(yīng)考慮的數(shù)據(jù)安全性與完整性問題，消除應(yīng)用程序使用時的安全隱患，將WEB應(yīng)用程序的應(yīng)用價值發(fā)揮到最大化。

1 WEB應(yīng)用程序的主要特征

WEB應(yīng)用程序主要存在以下幾個方面的特點(diǎn)：

（1）WEB應(yīng)用程序的開發(fā)過程中不需要進(jìn)行客戶端程序的開發(fā)，因而只需開發(fā)服務(wù)器端的相關(guān)程序。

（2）WEB應(yīng)用程序主要集中在服務(wù)器端，因此程序使用者需在遠(yuǎn)程進(jìn)行數(shù)據(jù)的傳輸與處理工作[1]，極易出現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸速度緩慢、可靠性差、數(shù)據(jù)丟失等問題。提高機(jī)械設(shè)計加工過程中的生產(chǎn)精度。此外，WEB應(yīng)用程序頁面的訪問主要通過URL（Uniform Resource Locator）進(jìn)行，因此即使非法人員不知道用戶名及密碼也能通過某些URL對后面的頁面進(jìn)行訪問，這將對正常用戶的程序使用安全性埋下重重隱患，因此WEB應(yīng)用程序的安全性問題亟待解決。

（3）WEB應(yīng)用程序使用的是HTML的文件格式，其頁面無記憶性，且各個頁面具有獨(dú)立性[2]。

2 WEB應(yīng)用程序的可靠性與安全性問題分析

結(jié)合WEB應(yīng)用程序的以上特征，本文總結(jié)出了WEB應(yīng)用程序可靠性與安全性問題分析如下：

2.1 關(guān)于數(shù)據(jù)完整性的問題分析

數(shù)據(jù)的完整性對于WEB應(yīng)用程序的使用來說是至關(guān)重要的，是保證信息處理正確順利進(jìn)行的必要條件。對于傳統(tǒng)應(yīng)用程序的信息處理而言，單個事務(wù)結(jié)束后，通常由系統(tǒng)進(jìn)行自動保存與提交[3]，例如常見的學(xué)生成績提交系統(tǒng)中，操作人員在輸入單個學(xué)生信息及成績后，不需要進(jìn)行確認(rèn)提交或確認(rèn)保存的操作，而是直接進(jìn)行下一位學(xué)生成績的輸入，而前一個同學(xué)的成績已自動保存到成績提交系統(tǒng)的數(shù)據(jù)庫中，這就是系統(tǒng)自動保存與提交。而對于通過ASP進(jìn)行數(shù)據(jù)庫訪問的WEB系統(tǒng)中，則不是系統(tǒng)的自動提交與保存，因為通過ASP進(jìn)行數(shù)據(jù)庫訪問的WEB系統(tǒng)一般應(yīng)用于遠(yuǎn)程通訊的環(huán)境，通信過程發(fā)生中斷的現(xiàn)象較為普遍，在某項事務(wù)由瀏覽器向WEB服務(wù)器進(jìn)行傳輸?shù)倪^程中，一旦發(fā)生線路中斷或其他故障，WEB服務(wù)器很大程度上不會收到該項事務(wù)所包含的完整操作，也就是完整的SQL語句或RS語句，在這種情況下，如果系統(tǒng)仍進(jìn)行數(shù)據(jù)的自動保存與提交，將造成數(shù)據(jù)的不完整。因此，WEB系統(tǒng)通常采用顯式提交的操作方式，倘若出現(xiàn)一定時間內(nèi)系統(tǒng)未收到保存提交或返回的信號，WEB服務(wù)器將主動取消該事務(wù)。當(dāng)用戶進(jìn)行提交后，若服務(wù)器并未提交成功，服務(wù)器應(yīng)及時向用戶發(fā)送重新提交的反饋信息。

但當(dāng)服務(wù)器在向瀏覽器發(fā)送反饋信息時，出現(xiàn)了線路中斷或其他故障，使得反饋信息無法傳輸?shù)接脩羲L問的瀏覽器時，用戶將對服務(wù)器未成功提交信息的事情毫不知情，也不會進(jìn)行數(shù)據(jù)的重新提交，因而導(dǎo)致了信息的丟失現(xiàn)象。此外，如果提交信息在傳輸過程中丟失也會接受不到反饋信息，因而造成數(shù)據(jù)丟失。基于以上兩種狀況，建議WEB應(yīng)用程序的開發(fā)設(shè)計者在瀏覽器端設(shè)立事務(wù)的提交標(biāo)志，當(dāng)服務(wù)器數(shù)據(jù)提交成功后，該標(biāo)志將發(fā)生改變，否則表示數(shù)據(jù)提交失敗，用戶可在一定時間后進(jìn)行重復(fù)提交，進(jìn)而保證數(shù)據(jù)提交的完整性，防止數(shù)據(jù)的丟失。

2.2 關(guān)于數(shù)據(jù)一致性的問題分析

對于其他應(yīng)用程序中的數(shù)據(jù)操作，用戶需按照特定的操作順序進(jìn)行數(shù)據(jù)的處理與傳輸工作，不能在操作過程中跳過其中的任何一項操作步驟，因此在一定程度上也保證了數(shù)據(jù)輸入的一致性。而WEB應(yīng)用程序使用的是HTML的文件格式，頁面間幾乎沒有邏輯關(guān)系，各個頁面相互獨(dú)立，完成各自的功能。因而，在WEB應(yīng)用程序的設(shè)計中，如將一批數(shù)據(jù)分配到不同的頁面進(jìn)行操作，將極易出現(xiàn)數(shù)據(jù)輸入不一致的現(xiàn)象。為了解決這類問題，WEB程序開發(fā)者可以在設(shè)計過程中將同一批數(shù)據(jù)的完整操作均分配到同一操作頁面，或設(shè)計程序?qū)Ω鱾€頁面的操作進(jìn)行檢查，及時發(fā)現(xiàn)未進(jìn)行操作的步驟，排除因操作遺漏而出現(xiàn)數(shù)據(jù)不一致的現(xiàn)象。

2.3 關(guān)于程序的安全性分析

程序的安全性是保證用戶對該程序的使用過程持信任態(tài)度的先決條件，也是保證程序使用范圍和用戶數(shù)量增大的必要因素[4]。為加強(qiáng)WEB應(yīng)用程序的安全性，建議在程序開發(fā)過程中采取以下措施：

（1）用戶進(jìn)入程序之前，應(yīng)首先進(jìn)行登陸操作，通過既定的用戶名與密碼進(jìn)行用戶合法身份的確定。值得注意的是，用戶名及密碼不可在靜態(tài)HTML文件中輸入，因為這樣會使得不法人員通過瀏覽器端的源文件得到，進(jìn)而造成用戶信息的泄露與權(quán)益的侵犯。而如果將用戶名與密碼信息存放到數(shù)據(jù)庫中，不法分子也可通過截取存放用戶名和密碼的數(shù)據(jù)庫名，得到用戶登錄信息。為了解決此類問題，程序開發(fā)者可將該部分的安全性集成到服務(wù)器中，利用WEB服務(wù)器斷絕瀏覽器端和數(shù)據(jù)庫間的聯(lián)系。用戶使用的瀏覽器端只負(fù)責(zé)接受WEB用戶名和密碼以及可訪問的頁面，而在服務(wù)器上設(shè)置數(shù)據(jù)庫用戶與WEB用戶之間的身份轉(zhuǎn)換操作，從而通過數(shù)據(jù)庫得到正確的用戶名和密碼信息。

（2）WEB應(yīng)用程序頁面的訪問主要通過URL進(jìn)行，因此即使非法人員不知道用戶名及密碼也能通過某些URL對后面的頁面進(jìn)行訪問，這將對正常用戶的程序使用安全性埋下重重隱患。對于以上問題，對上述問題，軟件開發(fā)者可在WEB服務(wù)器內(nèi)設(shè)立WEB用戶訪問頁面統(tǒng)計庫，各個訪問頁面與數(shù)據(jù)庫、用戶名、密碼等信息一一對應(yīng)，只有數(shù)據(jù)庫對應(yīng)的用戶名和密碼與輸入的用戶名和密碼一致，才允許用戶進(jìn)行對該數(shù)據(jù)庫的訪問。如果通過身份驗證頁面，用戶直接對數(shù)據(jù)處理之后的頁面進(jìn)行訪問，系統(tǒng)因未獲取由身份驗證頁面?zhèn)鬏數(shù)挠脩裘兔艽a，系統(tǒng)將拒絕用戶對數(shù)據(jù)庫下一步操作。在這種情況下，能對程序操作人員的身份信息進(jìn)行嚴(yán)格把控與篩選，防止不法分子的侵入。

3 結(jié)束語

WEB應(yīng)用程序的數(shù)據(jù)可靠性與安全性問題越來越受到人們的重視，如何對這些問題進(jìn)行科學(xué)的解決與把控是現(xiàn)階段急需解決的問題。本文從WEB應(yīng)用程序的特征出發(fā)，通過對數(shù)據(jù)完整性問題、數(shù)據(jù)一致性問題與程序安全性的分析，從開發(fā)者的角度提出了保證WEB應(yīng)用程序安全性與可靠性的可行性建議。

參考文獻(xiàn)：

[1]劉洋.WEB應(yīng)用程序安全設(shè)計及應(yīng)用技術(shù)的研究[D].山東大學(xué)，

2009.

[2]崔燕妮.基于Web的勞動就業(yè)信息管理系統(tǒng)的研究與實(shí)現(xiàn)[D].昆明理工大學(xué)，2002.

[3]孟憲虎，張延軍.開發(fā)WEB應(yīng)用程序的可靠性和安全性探討[J].計算機(jī)工程與應(yīng)用，2001（14）：74-75+139.

[4]余潔.基于Web技術(shù)實(shí)現(xiàn)集成自動化系統(tǒng)中監(jiān)測的研究和實(shí)踐[D].昆明理工大學(xué)，2001.endprint