2015年11月数据库与安全课程设计题目及要求.docVIP

《数据库与安全课程设计》 一、设计题目 基于关系数据，采用B/S结构设计实现一个人事管理系统，并对系统中数据库安全性问题进行研究，采用相关方法和技术措施增强系统的安全性。具体要求如下： 1．用户类型及相应权限 用户类型有以下几种：普通员工、部门经理、人事部经理、人事助理和系统管理员。权限定义如下表所示： 人员类型 权限描述 普通员工 查看所在部门员工基本信息和考勤信息，以及自已的薪资信息 部门经理 除普通员工的权限外，还可查看本部门所有员工的薪资信息和考勤信息 人事助理 修改全部员工资料，登记考勤信息并计算月工资 人事经理 除人事助理的权限外，还有指定员工起薪等权限 管理员 维护用户帐号信息，可修改用户角色，使其具有相应权限 2．系统基本功能 1）登录页面 对于不同角色的用户，他们的权限是不同的。当用户登录系统时，根据输入ID 和密码查询数据库，若用户名和密码正确，则进入相应的员工信息页面，若不正确，则提示用户用户名或密码错误，仍显示当前页面。为提高系统安全性，在Session中设置连接次数变量记录用户输入的次数，当用户输入的次数达到规定值而仍然不正确时，则返回主页，给他人试探用户密码造成困难。为用户定义对称密钥，对用户密码采用加密存储。 2）查询员工资料 该模块主要是查看自己或同事的资料，同时也可以修改自己的部分信息。 主要功能包括： 查询自己的所有信息，如员工ID、员工姓名、电子邮件、所在部门、经理、各月考勤情况和薪资信息等； 修改自己的登录密码； 按角色查询、有哪些信誉好的足球投注网站其他同事的相关信息。 3）员工资料管理 人事部门负责维护员工的基本资料。当员工第一天来公司报到时，人事部门将员工的基本资料（姓名、性别、出生年月、电子邮件及所属部门等）录入到数据库中，并打印一份报到单给员工，上面列出了该员工的登录ID、初始密码、公司邮件的地址、该员工的部门名称以及该员工的同部门同事列表。 主要功能包括： 添加/修改/删除员工； 按任意条件有哪些信誉好的足球投注网站员工（支持模糊查询）； 打印员工报到单（只列出相关信息即可）。 4）考勤管理（考虑系统复杂程度，在此未考虑请假情况） 员工必须按规定时间上下班，即上午9点上班，下午6点下班，不能迟到或早退。有一名人事助理专门负责记录员工的上班和下班时间，如果一个员工在一个月内迟到多于3次，则要扣除薪资（额度自定），如果出满勤，则有满勤薪资。员工可以查看自己的记录，经理可以查看下属的记录。主要功能包括： 员工查看自己某段时间内的考勤记录（迟到/缺勤）； 经理查看某段时间内、当日所有/部分下属的考勤记录； 经理查看某段时间内迟到/缺勤次数最多的人员列表。 主要功能包括： 输入/修改/删除/查询员工的考勤记录； 显示当日迟到、缺勤明细； 统计某段时间内迟到、缺勤人数汇总信息。 5）薪资查询及管理 员工薪资由基本薪资和出勤情况决定，可能因为迟到和缺勤而扣除部分薪资，也可能因为出满勤，增加满勤奖励。基本薪资由人事经理指定。员工可以查看自己的本月薪资明细，还可以查询历史薪资记录。 主要功能包括： 显示员工当月的薪资信息，并列出影响薪资额的考勤记录 打印本月薪资单； 查看某段时期内的薪资信息。 基本薪资只能由人事经理指定和修改。人事部负责每月根据员工的考勤记录，计算员工的本月薪资，并可查询公司员工薪资月汇总表。 主要功能包括： 人事经理指定员工的基本薪资； 计算员工的当月薪资； 按部门查询员工月薪资的汇总表； 查看某个员工的历史记录。 6）安全管理模块 系统管理员使用该模块维护用户帐号信息，修改用户角色等。对申请重设密码的用户，重设其登录密码。 主要功能包括： 强制密码设置； 用户角色维护。 3．防范系统的SQL注入攻击 （1）对常见SQL注入攻击特征进行定义（关键字或表达式）； （2）检测常见SQL注入攻击； （3）对SQL注入攻击进行过滤。 为进行测试，可增加两个模块（参考）： 1）SQL注入模块：寻找SQL注入点，对系统进行SQL注入攻击，以获取信息。 2）SQL过滤模块：在http请求被提交至系统相应模块处理前率先进行SQL注入攻击检查，如发现攻击，则拦截并产生警告信息，记录日志；如未发现SQL注入攻击，则提交系统并正常应答。 二、课程设计进度安排 本课程为实践性教学环节，以学生在实验室做实验为主，同时辅以实验理论的讲授和教师实际演示。具体安排如下。 1．实验室讲授和演示：（1学时） 理解计算机网络课程设计的目的、内容、任务和要求，演示基本编程过程，以及处理错误的方法。 2．资料收集与学习：（半天） 3．课堂实验：（其余时间） 主要以学生独立做课程设计为主，指导教师在实验室及时指导和纠正错误，同时对已完成实验的同学进行检查。 三、课程设计要求 1、设计要求 系统分析设计要能完成题目所要求的功能；在基本要求达到后