某大型匹萨加工和销售商为了有效管理匹萨的生产和销售情况,欲开发一套基于Web的信息系统。其主要功能为销售、生产控制、采购、运送、存储和财务管理等。系统采用Java EE平台开发,页面中采用表单实现数据的提交与交互,使用图形(Graphics)以提升展示效果。4、系统实现时,对销售订单的更新所用的SQL语句如下:PreparedStatementpStmt=connection.prepareStatement("UPDATE SalesOrder SET status= ? WHEREOrderID= ?")然后通过setString(...);的方式设置参数值后加以执行。设计测试用例以测试SQL注入,并说明该实现是否能防止SOL注入。

某大型匹萨加工和销售商为了有效管理匹萨的生产和销售情况,欲开发一套基于Web的信息系统。其主要功能为销售、生产控制、采购、运送、存储和财务管理等。系统采用Java EE平台开发,页面中采用表单实现数据的提交与交互,使用图形(Graphics)以提升展示效果。
4、系统实现时,对销售订单的更新所用的SQL语句如下:
PreparedStatementpStmt=connection.prepareStatement("UPDATE SalesOrder SET status= ? WHEREOrderID= ?")
然后通过setString(...);的方式设置参数值后加以执行。
设计测试用例以测试SQL注入,并说明该实现是否能防止SOL注入。


参考解析

解析:设计如下测试:[注:设计类似如下用例即可,其中包含SQL功能符号使SQL变为不符合设计意图即可]
PreparedStatement
pStmt=connection.prepareStatement("UPDATE SalesOrder SET status= ? WHERE
OrderID= ?")
采用传递参数的形式,Java的JDBC驱动自动会将其按照相应的类型处理,功能符号会进行转义。因此,该SQL语句是安全。
【解析】
第四小题考查Web应用安全性方面的SQL注入,SQL注入是Web应用安全性测试的重要方面之一。
许多Web应用系统采用某种数据库,接收用户从Web页面中输入,完成展示相关存储的数据(如检查用户登录信息)、将输入数据存储到数据库(如用户输入表单中数据域并点击提交后,系统将信息存入数据库)等操作。在有些情况下,将用户输入的数据和设计好的SQL框架拼接后提交给数据库执行,就可能存在用户输入的数据并非设计的正确格式,就给恶意用户提供了破坏的机会,即SQL注入。恶意用户输入不期望的数据,拼接后提交给数据库执行,造成可能使用其他用户身份,查看其他用户的私密信息,还可能修改数据库的结构,甚至是删除应用的数据库表等严重后果。SQL注入在使用SSL的应用中仍然存在,甚至是防火墙也无法防止SQL注入。因此,在测试Web应用时,需要认真仔细设计测试用例,采用Web漏洞扫描工具等进行检查,进行认真严格的测试,以保证不存在SQL注入机会。
本系统实现时,对销售订单的更新所用的SQL语句如下:
PreparedStatement pStmt=connection.prepareStatement("UPDATE SalesOrder SET status= ? WHERE OrderID= ?;");
然后通过setString(...);的方式设置参数值后加以执行。
在SQL语句中采用参数的方式传递前台传递来的值,因为不论是什么值,都会只作为setString(...)的参数值,不会作为SQL语句的其他功能符,所以本SQL语句更新订单的方式是防止SQL注入的。设计如下测试SQL注入的测试用例:
status: 'fulfilled' --, OrderID: '2014' OR '1'='1'
检查执行结果,或者传递给数据库的SQL语句,会发现所有用例中的功能字符都会经过特定的转义后作为status和OrderID的值。和拼接SQL的方式不同,采用参数形式传递时,Java的JDBC驱动自动会将其按照相应的类型处理,功能符号会进行转义。因此,测试用例中的注释--、OR等都会作为参数的值,不会作为功能符,也就不会改变SQL语句本身的功能结构,该SQL语句是安全的。

相关考题:

论基于Web的数据库应用系统的开发技术浏览器和HTTP协议在全球因特网的成功应用,促进了企业中的B/S结构的迅速推广。基于Web的数据库应用系统通常采用三层(或更多层)C/S结构,允许用于各类不同的平台和选择相应的数据库应用环境请围绕基于Web的数据库应用系统的开发技术论题,依次从以下3个方面进行论述:①概要叙述你参与分析和开发的软件项目,以及你所担任的主要工作。②具体讨论你在基于Web的数据库应用系统开发中所采用的主要技术,包括开发过程中遇到的问题和所采取的措施。③分析你所采用的开发技术的具体效果。现在你认为应当做哪些方面的改进,以及如何加以改进?

从1996年以来,该厂针对采购、仓储、生产、销售等环节信息不明、账目不清等突出问题,以财务管理为中心,以成本控制为重点,本着先易后难的原则,先后投资150多万元开发了“某汽车制造厂现代企业管理信息系统”。请用100字针对以上提出的问题分析该系统的应具由基本部分组成。

阅读以下关于Web应用系统架构设计的叙述,在答题纸上回答问题1至问题3. 【说明】 某信息技术公司计划开发一套在线投票系统,用于为市场调研、信息调查和销售反馈等业务提供服务。该系统计划通过大量宣传和奖品鼓励的方式快速积累用户,当用户规模扩大到一定程度时,开始联系相关企业提供信息服务,并按照信息服务种类和用户投票数量收取费用。 为了降低开发成本和提高开发效率,项目组经过讨论后决定采用轻量级Java EE开发框架设计系统应用架构。在应用架构设计中,除了满足系统主要功能需求,还需要考虑的因素包括: (1)项目开发采用MySQL数据库存储数据,一但将来可能移植到其它数据库平台; (2)系统开发过程中尽可能降低或者消除SQL语句开发的工作量; (3)投票系统中数据之间的关系复杂,需要支持数据对象的聚合和继承等关系。 项目组基于MVC模式设计出了投票系统的架构,包括表示层、业务逻辑层、数据持久层和数据层。在具体讨论数据持久层采用哪种技术方案时,老王建议采用成熟的Hibernate框架,小李则认为iBatis更加灵活,更适合作为投票系统数据持久层开发技术。【问题1)(5分) 请用300以内文字说明什么是数据持久层,使用数据持久层能够为项目开发带来哪些好处? 【问题2】(12分) 针对在线投票系统的实际应用需求和要求,项目组应选用哪种技术实现数据持久层?请用200字以内文字说明其采用该技术的原因。 【问题3】(8分) 数据持久层是Web应用系统框架中重要的组成部分,主流的数据持久层技术分别基于不同的技术方案,请在表5-1中(1)-(4)处分别根据(a)~(d)所列技术的方案类别填入其序号。 表5-1 数据持久层技术分类(a) BMP, CMP (b)iBatis/MyBatis (c)SprmgJdbcTemplate (d)TopLink,JDO,Hibernate

某开发小组欲为一公司开发一个产品控制软件,监控产品的生产和销售过程,从购买各种材料开始,到产品的加工和销售进行全程跟踪。购买材料的流程、产品的加工过程以及销售过程可能会发生变化。该软件的开发最不适宜采用( 29 )模型,主要是因为这种模型( 30 )。A.不能解决风险B.不能快速提交软件C.难以适应变化的需求D.不能理解用户的需求

阅读下列说明和图,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】某大型匹萨加工和销售商为了有效管理生产和销售情况,欲开发一匹萨信息系统,其主要功能如下:(1)销售。处理客户的订单信息,生成销售订单,并将其记录在销售订单表中。销售订单记录了订购者、所订购的匹萨、期望的交付日期等信息。(2)生产控制。根据销售订单以及库存的匹萨数量,制定匹萨生产计划(包括生产哪些匹萨、生产顺序和生产量等),并将其保存在生产计划表中。(3)生产。根据生产计划和配方表中的匹萨配方,向库存发出原材料申领单,将制作好的匹萨的信息存入库存表中,以便及时进行交付。(4)采购。根据所需原材料及库存量,确定采购数量,向供应商发送采购订单,并将其记录在采购订单表中:得到供应商的供应量,将原材料数量记录在库存表中,在采购订单表中标记己完成采购的订单。(5)运送。根据销售订单将匹萨交付给客户,并记录在交付记录表中。(6)财务管理。在匹萨交付后,为客户开具费用清单,收款井出具收据;依据完成的采购订单给供应商支付原材料费用并出具支付细节;将收款和支付记录存入收支记录表中,(7)存储。检查库存的原材料、匹萨和未完成订单,确定所需原材料。现采用结构化方法对匹萨信息系统进行分析与设计,获得如图1-1所示的上下文数据流图和图1-2所示的0层数据流图。【问题1】(4分)根据说明中的词语,给出图1-1中的实体E1-E2的名称。【问题2】(5分)根据说明中的词语,给出图1-2中的数据存储D1-D5的名称。【问题3】(6分)根据说明和图中词语,补充图1-2中缺失的数据流及其起点和终点。

阅读下列说明,回答问题l至问题4,将解答填入答题纸的对应栏内。【说明】某大型披萨加工和销售商为了有效管理披萨的生产和销售情况,欲开发一套基于Web的信息系统。其主要功能为销售、生产控制、采购、运送、存储和财务管理 等。系统采用Java EE平台开发,页面中采用表单实现数据的提交与交互,使用图形(Graphics)以提升展示效果。【问题1】(6分)设计两个表单项输入测试用例,以测试XSS(跨站点脚本)攻击。系统设计时可以采用哪些技术手段防止此类攻击。【问题2】(3分)简述图形测试的主要检查点。【问题3】(5分)简述页面测试的主要方面。【问题4】(6分)系统实现时,对销售订单的更新所用的SQL语句如下:然后通过setString(...);的方式设置参数值后加以执行。设计测试用例以测试SQL注入,并说明该实现是否能防止SQL注入。

某软件开发团队欲开发一套管理信息系统,在项目初期,虽然用户提出了软件的一些基本功能,但开发人员对实现这套软件功能的算法效率、操作系统的兼容性和人机交互的形式等情况还是比较模糊。在这种情况下,该团队在开发过程应采用(27)。A.瀑布模型B.增量模型C.原型开发模型D.快速应用程序开发(RAD)

某开发小组欲为一司开发一个产品控制软件,监控产品的生产和销售过程,从购买各种材料开始,到产品的加工和销售进行全程跟踪。购买材料的流程、产品的加工过程以及销售过程可能会发生变化。该软件的开发最不适宜采用(请作答此空)模型,主要是因为这种模型( )。A.瀑布B.原型C.增量D.喷泉

某大型商业公司欲集成其内部的多个业务系统,这些业务系统的运行平台和开发语言差异较大,而且系统所使用的通信协议和数据格式各不相同,针对这种情况,采用基于()的集成框架较为合适。A. 数据库B.文件系统C.总线D.点对点

某大型匹萨加工和销售商为了有效管理匹萨的生产和销售情况,欲开发一套基于Web的信息系统。其主要功能为销售、生产控制、采购、运送、存储和财务管理等。系统采用Java EE平台开发,页面中采用表单实现数据的提交与交互,使用图形(Graphics)以提升展示效果。问题1:设计两个表单项输入测试用例,以测试XSS(跨站点脚本)攻击。系统设计时可以采用哪些技术手段防止此类攻击。问题2:简述图形测试的主要检查点。问题3:简述页面测试的主要方面。问题4:系统实现时,对销售订单的更新所用的SQL语句如下:PreparedStatement pStmt=connection.prepareStatement("UPDATE SalesOrder SET status= ? WHERE OrderID= ?")然后通过setString(...);的方式设置参数值后加以执行。设计测试用例以测试SQL注入,并说明该实现是否能防止SOL注入。

某高校开发了一套基于Web的教务管理系统,实现教务管理人员课程设置、学生选课和成绩查询、教师上传成绩以及特殊情况下教务处对成绩进行修改等功能。系统基于Java EE平台实现,采用表单(Form)实现用户数据的提交并与用户交互。系统要支持:7在特定时期内100个用户并发时,主要功能的处理能力至少要达到10个请求/秒,平均数据量8KB/请求;8用户可以通过不同的移动设备、操作系统和浏览器进行访问。简要叙述为了达到系统要支持的(2),需要进行哪些兼容性测试,并设计一个兼容性测试矩阵。

某大型匹萨加工和销售商为了有效管理匹萨的生产和销售情况,欲开发一套基于Web的信息系统。其主要功能为销售、生产控制、采购、运送、存储和财务管理等。系统采用Java EE平台开发,页面中采用表单实现数据的提交与交互,使用图形(Graphics)以提升展示效果。2、简述图形测试的主要检查点。

某高校开发了一套基于Web的教务管理系统,实现教务管理人员课程设置、学生选课和成绩查询、教师上传成绩以及特殊情况下教务处对成绩进行修改等功能。系统基于Java EE平台实现,采用表单(Form)实现用户数据的提交并与用户交互。系统要支持:7在特定时期内100个用户并发时,主要功能的处理能力至少要达到10个请求/秒,平均数据量8KB/请求;8用户可以通过不同的移动设备、操作系统和浏览器进行访问。简要叙述教务管理系统表单测试的主要测试内容。

某大型匹萨加工和销售商为了有效管理匹萨的生产和销售情况,欲开发一套基于Web的信息系统。其主要功能为销售、生产控制、采购、运送、存储和财务管理等。系统采用Java EE平台开发,页面中采用表单实现数据的提交与交互,使用图形(Graphics)以提升展示效果。3、简述页面测试的主要方面。

某开发小组欲为一公司开发一个产品控制软件,监控产品的生产和销售过程,从购买各种材料开始,到产品的加工和销售进行全程跟踪。购买材料的流程、产品的加工过程以及销售过程可能会发生变化。该软件的开发最不适宜采用( )模型A.瀑布 B.原型 C.增量 D.喷泉

某大型匹萨加工和销售商为了有效管理匹萨的生产和销售情况,欲开发一套基于Web的信息系统。其主要功能为销售、生产控制、采购、运送、存储和财务管理等。系统采用Java EE平台开发,页面中采用表单实现数据的提交与交互,使用图形(Graphics)以提升展示效果。1、设计两个表单项输入测试用例,以测试XSS(跨站点脚本)攻击。系统设计时可以采用哪些技术手段防止此类攻击。

阅读下列说明和图,回答问题,将解答填入答题纸的对应栏内。【说明】某大型披萨加工和销售商为了有效管理生产和销售情况,欲开发一披萨信息系统,其主要功能扣下:1销售。处理客户的订单信息,生成销售订单,并将其记录在销售订单表中。销售订单记录了订购者、所订购的披萨、期望的交付日期等信息。2生产控制。根据销售订单以及库存的披萨数量,制定披萨生产计划(包括生产哪些披萨、生产顺序和生产量等),并将其保存在生产计划表中。3生产。根据生产计划和配方表中的披萨配方,向库存发出原材料申领单,将制作好的披萨的信息存入库存表中,以便及时进行交付。4采购。根据所需原材料及库存量,确定采购数量,向供应商发送采购订单,并将其记录在采购订单表中;得到供应商的供应量,将原材料数量记录在库存表中,在采购订单表中标记已完成采购的订单。5运送。根据销售订单将披萨交付给客户,并记录在交付记录表中。6财务管理。在披萨交付后,为客户开具费用清单,收款并出具收据:依据完成的采购订单给供应商支付原材料费用并出具支付细节;将收款和支付记录存入收支记录表中。7存储。检查库存的原材料、披萨和未完成订单,确定所需原材料。现采用结构化方法对披萨信息系统进行分析与设计,获得如图1所示的上下文数据流图和图2所示的0层数据流图。图2 ?0层数据流图【问题1】(5分)根据说明中的词语,给出图1中的实体E1~E2的名称。【问题2】(5分)根据说明中的词语,给出图2中的数据存储D1~D5的名称。【问题3】(5分)根据说明中的词语,补充图2中缺失的数据流及其起点和终点。

某高校开发了一套基于Web的教务管理系统,实现教务管理人员课程设置、学生选课和成绩查询、教师上传成绩以及特殊情况下教务处对成绩进行修改等功能。系统基于Java EE平台实现,采用表单(Form)实现用户数据的提交并与用户交互。系统要支持:7在特定时期内100个用户并发时,主要功能的处理能力至少要达到10个请求/秒,平均数据量8KB/请求;8用户可以通过不同的移动设备、操作系统和浏览器进行访问。系统实现时,对成绩更新所用的SQL语句如下:"UPDATE StudentScore SET score="+intCTientSubmitScore+"WHERE Stuent_ID='"+strStudentID+"';"设计1个测试用例,以测试该SQL语句是否能防止SQL注入,并说明该语句是否能防止SQL注入,以及如何防止SQL注入。

某高校开发了一套基于Web的教务管理系统,实现教务管理人员课程设置、学生选课和成绩查询、教师上传成绩以及特殊情况下教务处对成绩进行修改等功能。系统基于Java EE平台实现,采用表单(Form)实现用户数据的提交并与用户交互。系统要支持:7在特定时期内100个用户并发时,主要功能的处理能力至少要达到10个请求/秒,平均数据量8KB/请求;8用户可以通过不同的移动设备、操作系统和浏览器进行访问。在满足系统要支持的(1)时,计算系统的通信吞吐量。

基于地理信息公共服务平台的GIS应用开发中,最主要的开发成本为()。 A.地理信息数据生产B.GIS基础软件平台采购C.应用软件系统开发D.软件质量控制

基于地理信息公共服务平台的GIS应用开发中,最主要的开发成本为()。A、地理信息数据生产B、GIS基础软件平台采购C、应用软件系统开发 D、软件质量控制

基于地理信息公共服务平台的GIS系统开发中,最主要的开发成本为()。A:地理信息数据生产B:GIS基础平台软件采购C:应用操作系统开发D:软件质量控制

(2014 年) 基于地理信息公共服务平台的 GIS 应用开发中, 最主要的开发成本为() 。A. 地理信息数据生产 B. GIS 基础软件平台采购C. 应用软件系统开发 D. 软件质量控制

阅读以下关于Web系统架构的设计的叙述,回答下列问题。某信息技术公司计划开发一套在线投票系统,用于为市场调研、信息调查和销售反馈等业务提供服务。该系统计划通过大量宣传和奖品鼓励的方式快速积累用户,当用户规模扩大到一定程度时,开始联系相关企业提供信息服务,并按照信息服务种类和用户投票数量收取费用。为了降低开发成本和提高开发效率,项目组经过讨论后决定采用轻量级Java EE开发框架设计系统应用架构。在应用架构设计中,除了满足系统主要功能需求,还需要考虑的因素包括:1.项目开发采用MySQL,数据库存储数据,但将来可能移植到其他数据库平台;2.系统开发过程中尽可能降低或者消除SQL语句开发的工作量;3.投票系统中数据之间的关系复杂,需要支持数据对象的聚合和继承等关系。项目组基于MVC模式设计出了投票系统的架构,包括表示层、业务逻辑层、数据持久层和数据层。在具体讨论数据持久层采用哪种技术方案时,老王建议采用成熟的Hibernate框架,小李则认为iBatis更加灵活,更适合作为投票系统数据持久层开发技术。【问题1】请用300以内文字说明什么是数据持久层,使用数据持久层能够为项目开发带来哪些好处?【问题2】针对在线投票系统的实际应用需求和要求,项目组应选用哪种技术实现数据持久层?请用200字以内文字说明其采用该技术的原因

servlet是()A、它是一种实现 普通静态HTML和动态HTML混合编码的技术,可以安装到任何能够存放精通web页面的地方。B、是一种用于构建Java EE Web应用表现层的框架标准,它提供了一种以组件为中心的构件驱动的用户界面构建方法,从而大大简化了Java EE Web 应用的开发。C、规范了Java平台下的持久化实现,大大提高了应用的可移植性。D、是一种独立于操作系统平台和网络传输协议的服务器端的Java应用程序,它用来扩展服务器的功能,可以生成动态的Web页面

问答题论基于Web的数据库应用系统的开发技术 浏览器和HTTP协议在全球因特网的成功应用,促进了企业中的B/S结构的迅速推广。基于Web的数据库应用系统通常采用三层(或更多层)C/S结构,允许用于各类不同的平台和选择相应的数据库应用环境 请围绕"基于Web的数据库应用系统的开发技术"论题,依次从以下3个方面进行论述: ①概要叙述你参与分析和开发的软件项目,以及你所担任的主要工作。 ②具体讨论你在基于Web的数据库应用系统开发中所采用的主要技术,包括开发过程中遇到的问题和所采取的措施。 ③分析你所采用的开发技术的具体效果。现在你认为应当做哪些方面的改进,以及如何加以改进?

单选题基于地理信息公共服务平台的GIS系统开发中,最主要的开发成本为()。A地理信息数据生产BGIS基础平台软件采购C应用操作系统开发D软件质量控制