MrYang's Blog

　　花了半个多月的时间为财务处写的程序，终于交付测试了，现在想起来，实际上也是很容易的程序，只是在这期间需求出现了很多问题，所以用了这么长时间。
程序的整个功能就是登记职工的所有个人收入，同时记税，外加汇总，这里面难度大一点的是税收的计算，在税收计算方法不太完全的情况下，难度就更大了。不管怎么说，还是完成了。
这一次程序设计中收获最大就是整个设计按照Web标准来做，将内容和表现彻底分开，同时也把模块之间的独立性加强了，这样后期维护就容易多了。这些在以前的程序开发中使用的很少，更准确的说以前的程序开发都是为了能按时完成任务和功能，从标准和技术上考虑的很少。
这个记帐程序刚开是的时候有人建议使用C/S模式，但对我来说，更快的还是B/S，毕竟有这么多的有点，早期时候也用VB为银行的一部门写过记帐程序，花了不少的时间，可是效果却不明显，因此，这次就换了中方式。在第一次为领导演示时，领导也问为何不用JSP？实际上也不是不可以，但是在时间很短的情况下，我还是选择了ASP，更何况也只是在他们内部使用。实际上在很早的时候就看过一本书，我觉得说得很有道理，在项目的开发中，利用新技术并不一定能很快的按时的完成，选择一种你最熟悉的，又能很快完成项目的技术时很好的选择，正是这样。
不管怎么说，这个程序告一段落了，虽然以后可能还要修改。

下面是一些截图：

　　DIV+CSS可以实现很多的页面效果，一下的代码就是利用DIV+CSS实现的菜单效果，当鼠标经过菜单链接时，菜单的页面背景会变化，这里需要两张图片，一张是链接时菜单的背景，另一张是鼠标经过时的图片，当然也可以使用背景颜色，我这里使用的带上圆角的背景图片。效果如下：
具体代码如下：
CSS代码

#topmenu {
height: 30px;
width: 500px;
margin: 0px;
clear: both;
}

#topmenulist{
width: 100%;
margin:0 0 0 6px;
padding: 0;
text-align: center;
}

#topmenulist ul, #topmenulist li{
margin: 0;
padding: 0;
display: inline;
list-style-type: none;
border: 0px none;
}

#topmenulist a:link, #topmenulist a:visited{
float: left;
line-height:14px;
font-size: 15px;
font-weight: bold;
margin: 0;
text-decoration: none;
color: #ffffff;
background-image: url(topmenubg.jpg);
padding: 7px 15px 5px 17px;
}

#topmenulist a:hover{
float: left;
line-height:14px;
font-size: 15px;
font-weight: bold;
margin: 0;
text-decoration: none;
color: #9c9a9c;
background-image: url(topmenubgblank.jpg);
padding: 7px 15px 5px 17px;
}

• 收入登记
• 数据查询
• 报表查询
• 税率管理
• 系统管理

一个早上，终于完成了一个组合查询，有了这个基础，后面的组合查询就方便多了。
这里有两个Javascript页面效果的技巧，是在我的程序中使用到的：

1、在输入框中敲Enter，直接跳转到下一个输入框
实现这个功能实际上是将Enter转换成了Tab，这样就会实现顺序的跳转，但是必须要检测到现在敲的是Enter，在Javascript中有KeyDown事件，可以用来监测键盘事件，代码如下：

< script language=”javascript”>
function checkenter()
{
if(event.keyCode==13) //Enter的编码是13
event.keyCode=9; //Tab的编码是9
}
< /script>

在文本框的地方启用KeyDown事件调用checkenter()
< input name=”employeename” type=”text” id=”employeename” size=”10″ maxlength=”10″ onkeydown=”checkenter();” />
此代码只在IE浏览器内有效，Firefox和Opera无效。

2、鼠标经过表格的单元格或行时，背景颜色变化
这个是比较简单的，代码如下：
行的背景变化：
< tr onmouseover=”this.bgColor=’#eeeeee’;” onmouseout=”this.bgColor=’#ffffff’;”>
单元格的背景变化：

整个表格的背景变化：
< table onmouseover=”this.bgColor=’#eeeeee’;” onmouseout=”this.bgColor=’#ffffff’;”>

很长时间没有象这几天这样集中精力来写代码了，写代码中遇到了这样的问题，需要把Excel文件的内容读出来，显示出来，查找了一下资料，解决方法如下：
实际上只要把Excel文件当作数据库，里面的Sheet当作数据库中的表来操作就可以，不同的只是驱动程序不一样，具体代码如下：

set excelconn=server.createobject(”adodb.connection”)
strAddr = Server.MapPath(”uploaddata/testdata.xls”) ‘Excel源文件
Response.Write “源文件：”&strAddr&”
”
excelconn.open “Provider=Microsoft.Jet.OLEDB.4.0;Extended Properties=Excel 8.0;Data Source=” & strAddr ‘打开此文件

‘建立excel记录集
set excelrs=server.createobject(”adodb.recordset”)

sql=”select * from [Sheet1$]” ‘查询
excelrs.open sql,excelconn,1,1
While not excelrs.Eof
Response.write excelrs(0) &”,”&excelrs(1) &”,”& excelrs(2) &”,”& excelrs(3)&”
”
excelrs.Movenext
wend
excelrs.close()
set excelrs=nothing
excelconn.Close()
set excelconn=nothing

　　这个方法有一定的实用性，特别是在反复录入数据的情况下，比如，一个页面需要反复的录入用户数据，当前一个用户数据提交后，在输入下一个用户数据时，光标会自动聚焦到默认的输入框里，就省去了使用鼠标的过程，提高用户的处理速度和软件的方便性。
这个问题只需要使用JavaScript中的对象事件focus就可以实现了。具体的代码如下：
首先是聚焦代码，这里将光标聚焦到默认的employeeid输入框中：
< script language=”javascript”>
function auto_focus()
{
if(document.getElementById(’employeeid’)!=null) //首先检查employeeid对象是否存在
document.employeeadd.employeeid.focus(); //将光标聚焦
}
< /script>

在body标签中调用该函数，也就是让页面加载时调用该函数：
< body onload=”javascript:auto_focus()”>
输入框页面代码：
< form id=”employeeadd” name=”employeeadd” method=”post” action=”addemployee.asp”>
工号：< input name=”employeeid” type=”text” id=”employeeid” size=”6″ maxlength=”6″ />
< /form>< /span>>

　　PHP的跨平台性和执行效率一直受到广大网络程序员的亲睐，它可以和各种Web服务器和数据库服务器整合，运行在各种平台上，提供强大的Web服务功能，且效率较高。唯一的缺点就是在和其他的Web Server整合时，需要做一些配置，这些配置对于不熟悉网络程序设计的人来说，是有些困难，不过也有人提供过整合后的安装包，就像安装Windows程序一样，不需要做任何的配置，比如PhpHome整合了Apache+Php+Mysql，只要安装完，就可以直接使用了（当然这只是在Windows平台上）。这样的整合也有一些缺陷，就是在一台计算机上同时运行了两个Web服务器。

我这里要说的是将Php整合到IIS中，再加上Mysql，让IIS除了提供ASP、ASP.net的解析外，还可以同时解析Php。虽然在Php的安装包中提供了完整的安装说明（英文），但是在安装的过程中还是有一些问题，以下是我今天的IIS+Php+Mysql安装手记。

在安装之前，请从下面几个网站下载最新的安装包：
Php：http://www.php.net/ 我用的是php-5.0.4-Win32
Mysql: http://www.mysql.com/ 我用的是mysql-4.1.11-win32
IIS： Windows安装盘内 我用的是Windows XP

安装Php
第一步：php-5.0.4下载后是一个压缩包，解压到C:\Php，当然也可以到其他目录，有你自己来决定，我这里选择C:\Php，后面的设置里也是用这个路径。
第二步：然后设置系统环境变量Path=;C:\Php（环境变量的设置首先在“我的电脑”上点击右件，查看“属性”，选择“高级”标签，点击”环境变量”，在”系统变量”里修改Path的值，注意在原来的Path值之后加上;C:\Php），这一步的设置和php4不一样，对于php4的设置，这里就不多讲了，有关信息可以查看Php4安装包中的安装说明。
第三步：修改Php.ini。在php-5.0.4的根目录下有这样的两个文件 php.ini-recommended和php.ini-dist，两个都是Php的配置文件，php.ini-recommended是官方经过优化的，推荐使用，php.ini-dist是原始的。我们这里使用的是php.ini-recommended。
用记事本或EditPlus打开这个文件，修改如下几项：
修改doc_root = 的值，使它指向你的IIS的主目录，例如doc_root =”C:\Inetpub\wwwroot”
修改extension_dir = 的值，使它指向Php提供的拓展文件，Php-5.0.4的拓展文件存放于ext目录下，这与Php4的目录不一样，我们这里修改成extension_dir = “C:\PHP\ext”
找到;extension=php_mysql.dll，去掉前面的;，这样我们才能使用MySql
除此之外，其他的就不需要设置了，保存该文件，并把文件名改为php.ini，再将这个文件拷贝到C:\Windows目录下。
Php5.0.4安装完成。

配置IIS
Php-5.0.4只是一个脚本程序的解析器，还需要一个Web Server来提供Web服务，我这里选择了IIS，对IIS只需要做如下设置就可以了：
打开IIS（你可以从”控制面板”的”管理工具”中打开”internet信息服务”(IIS)）
在“默认站点”上点击右键查看”属性”，选择”主目录”标签，进入”配置”对话框
在”应用程序配置”中点击”添加”，”可执行文件”处点击浏览，选择C:\php\php5isapi.dll，”扩展名”处添加.php确定，IIS配置完成，为了让配置生效，需要重新启动IIS，你可以在IIS中来重起，也可在命令窗口下使用一面的命令：
停止服务：net stop iisadmin
启动服务：net start w3svc
OK，IIS和Php安装完成！如果你不需要安装MySql数据库，这个时候你已经可以测试Php程序了。

Php测试
打开记事本或EditPlus，输入如下代码：
< ?php
phpinfo();
?>
将它保存为一个Php文件，如Phptest.php，保存到IIS的主目录下。
然后就可以在浏览器中输入http://localhost/Phptest.php ，这是你就可以看到你机器上的Php配置信息。

安装MySql
MySql的安装简单的多，不需要做任何的配置，只需要根据安装向导，很快就可以完成了。
mysql-4.1.11安装完后会有一个Mysql的配置向导，根据这个向导来设置访问数据库的端口，用户名和密码，对于端口和用户名，建议是用默认的3306和root，密码自己设一个，也可以为空，完成后Mysql就启动了。
为了能够很容易的操作MySql数据库，可使用phpMyAdmin，这是一个用Php编写的对MySql数据库操作的程序，可以让我们很容的操作MySql数据库。

OK，到此，IIS+Php+Mysql安装完成，你就可以在这一台机器上同时解析ASP、ASP.net和Php了。

在写网络程序时，很多时候都没有考虑到程序设计的安全性，自己的网站也几次被人黑过，还好没有造成较大的损失，近日来想了一下这个问题，也看了几篇文章，在这里简单谈一下。

我这里谈的安全性是指在程序设计中考虑的安全性，更程序运行的环境无关，也就是跟服务器系统的安全性无关。

一、用户认证安全问题
在很多网络程序中，用户登录的认证都必不可少，对于采取的认证方式和用户密码的保密都回带来安全漏洞。
首先来说说密码问题，密码的保护是重要安全问题，很多的密码仍然是以明文的的方式存放在数据库中的，这样的密码存放方式很显然是不安全的，现在常用的方式将密码用MD5加密，然后将密码的密文存放在数据库中，在认证时取得用户提交的密码，通过MD5加密后的密文与存放的密码密文比较，以此来验证用户，可以保护密码，即使让人知道密文，因为MD5加密是单向的，也不会得到密码。
虽然保存的密码是密文，但是对于用户提交的密码在从浏览器传输到服务器的这一过程中，用户密码是明文的，如果这段信息被人窃取，密码也就被人知道了，所以一种解决方法就是在浏览器上用户提交密码后通过 JavaScript的MD5加密程序将用户密码加密程密文后传输，这样就可以保证密码在传输过程中的安全性。但是在一些浏览器上这样的 JavaScript脚本可能会被禁止或是不能正常地运行，因此我们也可以采用另外的方法，在提交的用户密码中加入一些干扰码，让用户密码和干扰码一体提交到服务器上，然后在服务器上在除掉干扰码（或者存放在数据中的密文也是有用户密码和干扰码通过MD5加密后的密文），这样在传输过程中的用户密码就不再明文的了。通过这些方法，能够进一步的保证用户认证的安全性。

上述的方法只是解决了密码的保护问题，密码的破解也可以通过试探来完成，也就是使用程序不断的组成密码来登录，如果时间够长，密码是可以被试出来的，为了防止这种情况，出现了验证码，也就是在用户登录时除了用户名和密码外，还需要输入验证码，验证码是随机生成的，不会重复，而且验证码不能用文本的方式显示，因为文本很容易会被程序识别，而且最好是不规则的图形，在背景上再加上一些杂色或杂点干扰，这样就不会被程序很容易识别。这些图片都是程序运行时才生成的。

另外，在验证用户密码时还应考虑到用户密码中的特殊字符，比如用户名和密码中如果有单引号，也会有安全问题。
比如，在验证用户时采用的SQL语句是：
Select * From UserInfo Where UserName=’”&Request.Form(”UserName”)&”‘ and PassWord=’”&Request.Form(”PassWord”)&”‘
如果我在用户名和密码中输入的是：tttt’ or ‘1=1，那么，我最终在执行的SQL语句就变成了：
程序代码： [ 复制代码到剪贴板 ]
Select * From UserInfo Where UserName=’tttt’ or ‘1=1′ and PassWord=’tttt’ or ‘1=1′
这样的SQL语句就会取得用户表中的第一个用户作为登录用户，如果第一个用户是超级用户，那么……
解决的方法可以将上面的SQL语句改成：
Select * From UserInfo Where UserName=’”&Request.Form(”UserName”)&”‘
再查询出有这个用户名后，在来认证密码是否一致，可以避免这一情况。初次之外，就是在接受到用户名和密码后，判断是否有单引号，如果有，则提示。

二、Access数据库的安全问题
因为Access数据库是文件方式的，所以我们只要知道这个数据的名称和存放的路径，我们就可以得到这个数据库，比如数据库名称为 myData.mdb，存放在网站的MyData目录下，那么通过htto://www.yourhost.com/MyData/myDat.mdb就可以得到这个数据库，数据的安全得不到保证。
解决的方法很简单，更改Access数据库的扩展名，比如改称MyData.asp或MyData.asa，这样即使知道文件名和存放路径，也没办法得到这个数据库。

以上是暂时想到的一些安全问题，只是个人意见。