一、基本要求
1、在网站根目录中开设images、inc、database、temp四个子目录,根据需要再开设media子目录,images目录中放不同栏目的页面都要用到的公共图片,例如标志、banner条、菜单、按钮等等;inc子目录中放css、js、include等公共文件;database子目录放与网站有关的数据文件;temp子目录用于存放网站制作过程中的原始图片、文档等;media子目录中放flash,avi,quicktime等多媒体文件。
2、在根目录中原则上应该按照首页的栏目结构,给每一个栏目开设一个目录,根据需要在每一个栏目的目录中开设一个images和media的子目录用以放置此栏目专有的图片和多媒体文件,如果这个栏目的内容特别多,又分出很多下级栏目,可以相应的再开设其他目录。
3、除非有特殊情况,目录、文件的名称全部用小写英文字母、数字、下划线的组合,其中不得包含汉字、空格和特殊字符。
二、排版要求
1、在排布表格之前,请大家一定要好好思考一个 佳的方案,表格的嵌套尽量控制在三层以内,一个网页要尽量避免用整个一张大表格。
2.网页中需要用到的空白 好用css中的 margin padding ,而不用敲入空格, 标记等。
3.文字通常在12像素左右,行高为23px ,两个表格之间的简介为6-10px左右。 4.通常,在显示详细页面的时候,图片 好采用等比压缩。
三、程序开发要求
1)表格不要嵌套太多;
2)表格宽度要用象素规定宽度;
3)单页中,一个功能模块要做成一个表格,以便编写页面时,将重复部分提取成嵌入文件。
4)其它要注意的:精简代码、注意表格中字符和边框的宽度。
5)文件名请用英文小写加数字(和半角下划线)命名。
1)在ASP页面内,凡是使用CreageObject()创建的对象(Com、Recordset等),对于这些变量,应当在该页结束进行对象释放:即Set对象变量名=Nothing
2)数据库打开以后在不用的时候(通常是本页 后面),需要对连接进行关闭;
3)对于需要输入字符串,且需要使用SQL语句的地方,要引入sql语句检查文件,防止sql注入
1)对于能够公共调用的页面,如头部、尾部等写成可以单独的问文件,js函数也尽量写在一个文件里面,
2)文件的引入一般是使用相对路径。
四\数据库安全
防范措施1:修改数据库名后缀为Asa或Asp等格式
这一做法,安全指数相对第一种行为会高一些,但同样存在着隐患。它必须配合一些必要的设置进行,如:在数据库文件中加入<%或%>标签,这样,IIS才会按Asp语法来解析,然后报告500错误,使歹徒无法下载。可是,假如只是简单地在数据库的文本或备注字段中加入<%是起不到作用的,因为Access会对其中的内容进行处理,在数据库里它会以< %的形式存在,无效哦!正确的方法应该是将<%存入OLE对象字段里,这样我们的防范目的才能达到。
操作方法如下: 先用notepad新建一个内容为“<%”的文本文件,然后随便取个名字存档。接着,用Access打开你的数据库文件,新建一个表,随便取个什么名字,然后在表中添加一个OLE对象的字段,并添加一条记录,插入之前建立的文本文件,要是操作正确,便可以看到一个新的名为“数据包”的记录。可以了!
防范措施2:在数据库名称前加上“#”等特殊符号
在数据库文件名之前加上“#”等特殊符号、然后修改数据库连接文件(如c_custom.asp)中的数据库地址,也可以起到不错的保护作用。原理是:当歹徒下载的时候,浏览器或下载工具将只能识别“#”符号前的部分地址,而对于“#”后面的名将自动去除。举个例子,假设你要下载:http://www.diyidu.cn/date/#123.mdb(如果存在的话),当你输入该地址回车,此时无论是Ie还是Flashget等,下载到的将都是http://www.diyidu.cn/date/index.htm(index.asp、default.jsp等你在IIS设置的首页文档)。
另外,在数据库文件名中保留一些空格也能起到类似作用,由于Http协议对地址解析的非凡性,空格会被编译为“%”,比如你要下载:http://www.diyidu.cn/date/123 456.mdb(123与456之间是个空格),当你输入该地址回车,此时你下载到的将是http://www.diyidu.cn/date/123%456.mdb。而我们的目录中,根本就没有123%456.mdb这个文件,所以下载也是无效的。经过这样的修改以后,即使你暴露了数据库地址,一般情况下别人也无法下载得到。所以,这项措施的安全指数较之前两法,有更高了一筹。
防范措施3:为你的Access数据库加密
防范措施4:将数据库放在Root目录以外或将数据库连接文件放到其他虚拟目录下 比方说,你的WEB目录是D:\wwwroot,那么你可以将数据库放到D:\databases这个文件夹里,然后修改D:\wwwroot里的数据库连接文件,将数据库连接地址修改为:“../databases/数据库名” 的形式,这样数据库也可以正常调用,但是就无法下载了,因为它不存在于wwwroot目录里!这个方法一般不适合于购买虚拟主机的用户。当然,现在的多数虚拟主机程序在wwwroot目录平行位置,已经都有独立的databases目录了,这样子处理后相对来说是安全的。 |