開發WEB應用程序的可靠性和安全性探討

朱玲彥

摘 要： 隨著我國計算機技術水平的飛速提升，及電商行業的蓬勃發展，人們對WEB應用程序的重視程度及應用需求越來越高。同時也對WEB應用程序的開發提出了更高要求。雖然現階段計算機行業對網絡安全的研究較為成熟，但針對WEB應用程序開發過程中如何提高該程序可靠性與安全性的研究卻相對較少。為了提高WEB應用程序的安全性和可靠性水平，全面優化程序設計過程中的不足之處，文章針對WEB應用程序開發過程中需要注意的安全性與可靠性問題展開了討論與探究，以為開發者進行WEB應用程序開發的相關工作提供指導。

關鍵詞：開發；WEB應用程序；可靠性；安全性

中圖分類號：TP393 文獻標志碼：A 文章編號：2095-2945（2017）27-0195-02

我國綜合國力的提升極大地帶動了計算機及互聯網行業的進步，尤其是在全球化的時代背景下，我國的計算機及互聯網行業不斷引進先進技術，緊跟國際一流水平的前進腳步。其中，WEB應用程序的開發應用也取得了可喜的成績與突破。WEB應用程序在使用時，只需通過普通瀏覽器，即可實現其功能。相對于其他應用程序而言，避免了在各個計算機上進行對應的開發軟件的安裝的繁瑣步驟。此外，相比于其他應用程序，WEB應用程序具有只要在聯網條件下就能實現遠程信息處理與傳輸的優勢。但WEB應用程序也因其分布與遠程交互的特性，使得WEB的應用程序的數據穩定性和數據的安全性問題更為復雜。病毒攻擊、網絡詐騙、信息流失等現象的一再出現，使得大量WEB站點成為了WEB應用程序安全問題不完善的受害者。這就需要對WEB應用程序使用過程中的出現的可靠性與安全性問題進行系統全面的總結，以提出WEB應用程序開發過程中應考慮的數據安全性與完整性問題，消除應用程序使用時的安全隱患，將WEB應用程序的應用價值發揮到最大化。

1 WEB應用程序的主要特征

WEB應用程序主要存在以下幾個方面的特點：

（1）WEB應用程序的開發過程中不需要進行客戶端程序的開發，因而只需開發服務器端的相關程序。

（2）WEB應用程序主要集中在服務器端，因此程序使用者需在遠程進行數據的傳輸與處理工作[1]，極易出現網絡數據傳輸速度緩慢、可靠性差、數據丟失等問題。提高機械設計加工過程中的生產精度。此外，WEB應用程序頁面的訪問主要通過URL（Uniform Resource Locator）進行，因此即使非法人員不知道用戶名及密碼也能通過某些URL對后面的頁面進行訪問，這將對正常用戶的程序使用安全性埋下重重隱患，因此WEB應用程序的安全性問題亟待解決。

（3）WEB應用程序使用的是HTML的文件格式，其頁面無記憶性，且各個頁面具有獨立性[2]。

2 WEB應用程序的可靠性與安全性問題分析

結合WEB應用程序的以上特征，本文總結出了WEB應用程序可靠性與安全性問題分析如下：

2.1 關于數據完整性的問題分析

數據的完整性對于WEB應用程序的使用來說是至關重要的，是保證信息處理正確順利進行的必要條件。對于傳統應用程序的信息處理而言，單個事務結束后，通常由系統進行自動保存與提交[3]，例如常見的學生成績提交系統中，操作人員在輸入單個學生信息及成績后，不需要進行確認提交或確認保存的操作，而是直接進行下一位學生成績的輸入，而前一個同學的成績已自動保存到成績提交系統的數據庫中，這就是系統自動保存與提交。而對于通過ASP進行數據庫訪問的WEB系統中，則不是系統的自動提交與保存，因為通過ASP進行數據庫訪問的WEB系統一般應用于遠程通訊的環境，通信過程發生中斷的現象較為普遍，在某項事務由瀏覽器向WEB服務器進行傳輸的過程中，一旦發生線路中斷或其他故障，WEB服務器很大程度上不會收到該項事務所包含的完整操作，也就是完整的SQL語句或RS語句，在這種情況下，如果系統仍進行數據的自動保存與提交，將造成數據的不完整。因此，WEB系統通常采用顯式提交的操作方式，倘若出現一定時間內系統未收到保存提交或返回的信號，WEB服務器將主動取消該事務。當用戶進行提交后，若服務器并未提交成功，服務器應及時向用戶發送重新提交的反饋信息。

但當服務器在向瀏覽器發送反饋信息時，出現了線路中斷或其他故障，使得反饋信息無法傳輸到用戶所訪問的瀏覽器時，用戶將對服務器未成功提交信息的事情毫不知情，也不會進行數據的重新提交，因而導致了信息的丟失現象。此外，如果提交信息在傳輸過程中丟失也會接受不到反饋信息，因而造成數據丟失?；谝陨蟽煞N狀況，建議WEB應用程序的開發設計者在瀏覽器端設立事務的提交標志，當服務器數據提交成功后，該標志將發生改變，否則表示數據提交失敗，用戶可在一定時間后進行重復提交，進而保證數據提交的完整性，防止數據的丟失。

2.2 關于數據一致性的問題分析

對于其他應用程序中的數據操作，用戶需按照特定的操作順序進行數據的處理與傳輸工作，不能在操作過程中跳過其中的任何一項操作步驟，因此在一定程度上也保證了數據輸入的一致性。而WEB應用程序使用的是HTML的文件格式，頁面間幾乎沒有邏輯關系，各個頁面相互獨立，完成各自的功能。因而，在WEB應用程序的設計中，如將一批數據分配到不同的頁面進行操作，將極易出現數據輸入不一致的現象。為了解決這類問題，WEB程序開發者可以在設計過程中將同一批數據的完整操作均分配到同一操作頁面，或設計程序對各個頁面的操作進行檢查，及時發現未進行操作的步驟，排除因操作遺漏而出現數據不一致的現象。

2.3 關于程序的安全性分析

程序的安全性是保證用戶對該程序的使用過程持信任態度的先決條件，也是保證程序使用范圍和用戶數量增大的必要因素[4]。為加強WEB應用程序的安全性，建議在程序開發過程中采取以下措施：

（1）用戶進入程序之前，應首先進行登陸操作，通過既定的用戶名與密碼進行用戶合法身份的確定。值得注意的是，用戶名及密碼不可在靜態HTML文件中輸入，因為這樣會使得不法人員通過瀏覽器端的源文件得到，進而造成用戶信息的泄露與權益的侵犯。而如果將用戶名與密碼信息存放到數據庫中，不法分子也可通過截取存放用戶名和密碼的數據庫名，得到用戶登錄信息。為了解決此類問題，程序開發者可將該部分的安全性集成到服務器中，利用WEB服務器斷絕瀏覽器端和數據庫間的聯系。用戶使用的瀏覽器端只負責接受WEB用戶名和密碼以及可訪問的頁面，而在服務器上設置數據庫用戶與WEB用戶之間的身份轉換操作，從而通過數據庫得到正確的用戶名和密碼信息。

（2）WEB應用程序頁面的訪問主要通過URL進行，因此即使非法人員不知道用戶名及密碼也能通過某些URL對后面的頁面進行訪問，這將對正常用戶的程序使用安全性埋下重重隱患。對于以上問題，對上述問題，軟件開發者可在WEB服務器內設立WEB用戶訪問頁面統計庫，各個訪問頁面與數據庫、用戶名、密碼等信息一一對應，只有數據庫對應的用戶名和密碼與輸入的用戶名和密碼一致，才允許用戶進行對該數據庫的訪問。如果通過身份驗證頁面，用戶直接對數據處理之后的頁面進行訪問，系統因未獲取由身份驗證頁面傳輸的用戶名和密碼，系統將拒絕用戶對數據庫下一步操作。在這種情況下，能對程序操作人員的身份信息進行嚴格把控與篩選，防止不法分子的侵入。

3 結束語

WEB應用程序的數據可靠性與安全性問題越來越受到人們的重視，如何對這些問題進行科學的解決與把控是現階段急需解決的問題。本文從WEB應用程序的特征出發，通過對數據完整性問題、數據一致性問題與程序安全性的分析，從開發者的角度提出了保證WEB應用程序安全性與可靠性的可行性建議。

參考文獻：

[1]劉洋.WEB應用程序安全設計及應用技術的研究[D].山東大學，

2009.

[2]崔燕妮.基于Web的勞動就業信息管理系統的研究與實現[D].昆明理工大學，2002.

[3]孟憲虎，張延軍.開發WEB應用程序的可靠性和安全性探討[J].計算機工程與應用，2001（14）：74-75+139.

[4]余潔.基于Web技術實現集成自動化系統中監測的研究和實踐[D].昆明理工大學，2001.endprint