ASP代码安全

田支斌

ASP(Active Server Pages)是微软开发的基于Windows Nt server Internet Information Server的服务器脚本运行环境。它是一种高效的动态网页开发技术,易于学习,但是因为其使用的普遍性及源代码的开放性,使得其面临诸如数据被非法下载,用户帐户泄露等一系列的安全问题。本文对代码本身的安全问题进行讨论。

防止文件被非法下载

避免包含文件被下载

避免Access数据库文件被下载

防止下载地址泄露

数据库安全

设定合适权限的数据库用户

过滤变量输入中的非法字符和改造危险的SQL语句

限制站外数据提交和页面的直接访问

数据库内容加密

数据库联接字符串加密

IP地址加密

网页恶意脚本过滤

---- 摘自《信息网络安全》2004年第2期第51---53页


业界动态

从教育部获悉,2004年全国研究生入学考试“考题泄密”案日前告破,7名涉案人员已被公安机关抓获。从目前调查和以抓获嫌疑人的初步交代来看,均为网上欺诈案件。

☆香港互联网供应商协会新近调查发现,垃圾邮件每年对香港经济造成的生产力损失,估计达到100亿港元。

☆近期,启明星辰公司应邀参加了第五届民航信息化发展论坛,此论坛自1999年创办以来已连续举办五届,逐步发展成民航系统与企业沟通的重要平台。

2004年1月2日,瑞星公司和腾讯公司宣布为更好的保护网络及时通讯用户的安全,双方将开展多项深度技术合作。

微软1月28日表示为了保护网民免受含有恶意代码网站的引诱,将发布IE和Windows资源管理器的升级软件。

近日,微软公司承认,Word的密码保护功能能够被轻易地破解,但表示,这一功能的目的从来就不是为了保证安全。

----摘自《信息网络安全》2004年第2期第67---68页


Web QoS控制研究综述

单志广  林闯  肖人毅  杨扬

  Internet  的服务模式正由传统的数据通信与信息浏览向电子交易与服务转变,Web服务器系统作为支持电子商务的核心设备,需要对不同的用户或HTTP 请求提供区分服务和性能保证,因此必须具备建立和支持服务质量(Quality of Service, QoS控制的机制与策略该文综述了Web QoS 控制的研究现状,包括Web请求的分类机制 Web 服务器应用软件的QoS控制机制操作系统的Web QoS 控制机制中间件的Web QoS 控制机制以及 Web服务器集群系统的QoS控制机制与策略,并分析了进一步的研究方向。

--------摘自《计算机学报》2004(2)第145----156页


基于任务复制的处理器预分配算法

周双娥  袁由光  熊兵周  欧中红

基于任务复制的调度算法比无任务复制的调度具有较好的性能,文章在分析了基于任务复制的几个典型算法(如TDSOSA等算法)及其假设条件后,提出了以使调度长度最短作为主要目标减少处理机注目作为次要目标处理机预分配算法PPA。该算法对任务计算时间与任务通信时间未做任何限制(即不考虑任务粒度)。通过与相关工作的比较可以看出:PPA算法在调度长度与处理器使用数目上均优于其他算法或与其他算法相当。同时,该算法具有与TDSOSA相同的时间复杂度,这对嵌入式实时分布系统具有重要的意义。

--------摘自《计算机学报》2004(2)第216----223页


公用无线局域网的位置管理策略

赵力强  杨军  樊昌信  李建东

无线局域网 (WLAN)GPRS结合而成的公用无线局域网,是一种覆盖全球的高速移动通信网,位置管理策略是其中的一项关键技术,然而现有的WLAN位置管理策略并不适合公用无线局域网的体系结构和安全性要求,因该文提出基于接入控制器(AC)和接入点(AP)的两层数据库位置管理策略(包括数据库分配策略和位置更新策略),由AC存储所有终端和AP的位置信息,记录所有越区切换过程;APAC获取下属终端的位置信息,向AC汇报下属终端的越区切换过程,对位置管理策略的性能分析结果表明:该策略在数据库查询,位置更新和安全性等方面具有良好的性能。

--------摘自《计算机学报》2004(2)第270----274页


供职IT:天堂还是地狱

涵泳

曾几何, 供职IT行业是一件令人羡慕的事情.但近几年来, IT行业的持续低迷以及不绝于耳的裁员“减薪”等字眼,让人不断感到不寒而栗.与此同时我们也常常听到诸如前景广阔这样的声音.因此,正在求职的朋友不禁要问----

还要不要选择IT 

求职专家指出:选择工作首先应该先选择其所在的行业.事实上,一个行业在未来一段时间内是否有发展很大程度上决定着你所在的企业,甚至个人的发展.国家信息化测评中心最近公布的研究报告显示,近10年来,中国的信息产业平均增长速度超过32%,高于同期全部工业平均增长速度近18个百分点.但是据世资讯的数据表明中国IT2002年的增长率为11%,2003年的增长率为15%,这比起10年来中国的信息产业平均增长速,仍然相形见绌.因此,对待供职IT产业的期望值,更合理和客观的态度以及一颗平常心应该是一个好的选择.

薪情几何

世界各大跨国公司纷纷从大洋彼岸传来减薪裁员的消息,思科,爱立信等大公司发出不能达到赢利预期的警告以及发布裁员措施,康柏和惠普的并购案于20025月正式进行, IT行业的从业人员也不可避免地受到冲击.<<解放日报>>的报道,上海市某重点高校2003IT毕业生的平均月薪为2000,与三年前平均5000元的起薪相比,薪金减少了60%.此外----虽然IT专业工作的基本年收入保持稳定,但就职第一年的工资较以往降低.但数据安全分析家,应用软件设计师,因特网及企业内部网络高级开发人员就职第一年的工资同比增长.另外,服务,医疗以及金融服务领域对于IT行业的需求将会增加.不管IT行业的薪金如何变化,一个大趋势是IT行业的薪水是越来越难挣了.

天堂还是地狱

首先,是心态的调整,这一点对于有计划步入IT业内的朋友尤为重要.

其次,环境下的自我定位.因为职业需求的蛋糕的增长速度远远跟不上求职大军的膨胀速度,于是招聘者的眼光和要求也水涨船高了,他们越来越需要在某一领域内有专长的人才.显然,市场留给单项技能的求职者的空间已经越来越小了.因此,一些求职就业指导专家给出建议:有计划供职IT的朋友,最好事先作好自我定位,以根据需要掌握相关技能.事实上,在相当程度上,工作的好与坏更多地取决于我们自己.

有人说,这世界是天堂,那么通往天堂的路就在我们脚下:那么,同样地,这世界如果有地狱,那么通往地狱的路也在我们脚下.入天堂还是地狱,关键看你怎么看,怎么走.

-------摘自<<中国大学生就业>>2004(1)红版第30-----32页