好程序员web设置

Ⅰ 如何设置 Web 服务器的权限

如何设置 Web 服务器的权限？如果Web服务器的权限没有设置好，那么网站就会出现漏洞并且很可能会出现被不怀好意的人黑掉的情况。我们不应该把这归咎于 IIS 的不安全。如果对站点的每个目录都配以正确的权限，出现漏洞被人黑掉的机会还是很小的（Web 应用程序本身有问题和通过其它方式入侵黑掉服务器的除外）。下面是我在配置过程中总结的一些经验，希望对大家有所帮助。

IIS Web 服务器的权限设置有两个地方，一个是 NTFS 文件系统本身的权限设置，另一个是 IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上。这两个地方是密切相关的。下面以实例的方式来讲解如何设置权限。

IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上有：

脚本资源访问
读取
写入
浏览
记录访问
索引资源
6 个选项。这 6 个选项中，“记录访问”和“索引资源”跟安全性关系不大，一般都设置。但是如果前面四个权限都没有设置的话，这两个权限也没有必要设置。在设置权限时，记住这个规则即可，后面的例子中不再特别说明这两个权限的设置。

另外在这 6 个选项下面的执行权限下拉列表中还有：

无
纯脚本
纯脚本和可执行程序
3 个选项。

而网站目录如果在 NTFS 分区（推荐用这种）的话，还需要对 NTFS 分区上的这个目录设置相应权限，许多地方都介绍设置 everyone 的权限，实际上这是不好的，其实只要设置好 Internet 来宾帐号（IUSR_xxxxxxx）或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、php 程序的目录权限，那么设置 Internet 来宾帐号的权限，而对于 ASP.NET 程序，则需要设置 IIS_WPG 组的帐号权限。在后面提到 NTFS 权限设置时会明确指出，没有明确指出的都是指设置 IIS 属性面板上的权限。

例1 —— ASP、PHP、ASP.NET 程序所在目录的权限设置：
如果这些程序是要执行的，那么需要设置“读取”权限，并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”，更不要设置执行权限为“纯脚本和可执行程序”。NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限。如果有一些特殊的配置文件（而且配置文件本身也是 ASP、PHP 程序），则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序是 IIS_WPG 组）的写权限，而不要配置 IIS 属性面板中的“写入”权限。

IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理，对于普通网站，一般情况下这个权限是不打开的。

IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限，而是指可以访问源代码的权限，如果同时又打开“写入”权限的话，那么就非常危险了。

执行权限中“纯脚本和可执行程序”权限可以执行任意程序，包括 exe 可执行程序，如果目录同时有“写入”权限的话，那么就很容易被人上传并执行木马程序了。

对于 ASP.NET 程序的目录，许多人喜欢在文件系统中设置成 Web 共享，实际上这是没有必要的。只需要在 IIS 中保证该目录为一个应用程序即可。如果所在目录在 IIS 中不是一个应用程序目录，只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web 共享会给其更多权限，可能会造成不安全因素。

总结: 也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要asp.net的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.

例2 —— 上传目录的权限设置：
用户的网站上可能会设置一个或几个目录允许上传文件，上传的方式一般是通过 ASP、PHP、ASP.NET 等程序来完成。这时需要注意，一定要将上传目录的执行权限设为“无”，这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序，也不会在用户浏览器里就触发执行。

同样，如果不需要用户用 PUT 指令上传，那么不要打开该上传目录的“写入”权限。而应该设置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序的上传目录是 IIS_WPG 组）的写权限。

如果下载时，是通过程序读取文件内容然后再转发给用户的话，那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。“浏览”权限也不要打开，除非你就是希望用户可以浏览你的上传目录，并可以选择自己想要下载的东西。

总结: 一般的一些asp.php等程序都有一个上传目录.比如论坛.他们继承了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无).

例3 —— Access 数据库所在目录的权限设置：
许多 IIS 用户常常采用将 Access 数据库改名（改为 asp 或者 aspx 后缀等）或者放在发布目录之外的方法来避免浏览者下载它们的 Access 数据库。而实际上，这是不必要的。其实只需要将 Access 所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的 Access 数据库。你的程序需要的是 NTFS 上 Internet 来宾帐号或 IIS_WPG 组帐号的权限，你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。

总结: Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写.那么Access所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了

例4 —— 其它目录的权限设置：
你的网站下可能还有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等，这些目录只需要设置“读取”权限即可，执行权限设成“无”即可。其它权限一概不需要设置。 上面的几个例子已经包含了大部分情况下的权限设置，只要掌握了设置的基本原理，也就很容易地完成能其它情况下的权限设置。

Ⅱ java程序员请进！怎么用eclipse创建web项目及配置和运行

eclipse：
准备工作 把j2ee的插件放进eclipse plugin文件夹
file - new- other- webn-dynamic web project 随便起个名字finish
window-showview-servers然后你控制台里就能看到一个server的标签点了 然后再空白处 右击 new server 然后选择tomcat 相应的版本 next 然后把你刚创建的项目从走遍 移到右边finish

完成后双击你创建的server 然后点击 open launch configuration 然后点classpath 在user entries里 加你启动server 需要的jar 或者项目 比如 数据库连接Jar 或者是 log4j commonlogging之类的东西
至此dynamic web project 已经配置完成

http://d2u376ub0heus3.cloudfront.net/technology/epp/downloads/release/galileo/SR1/eclipse-jee-galileo-SR1-win32.zip
下个j2ee 的eclipse算了 省的装插件 麻烦

Ⅲ 如何让程序员更容易的开发Web界面

如何让程序员更容易的开发Web界面，是一个持久的话题，所有的从事相关开发的公司都会碰到这个问题，并且被这个问题所深深困扰。
Tiny框架也不得不直视这个问题，确实来说，想解决这个问题，也是非常有难度与深度的，业界也有各种各样的尝试，这也是有各种各样不同框架出现的原因。
Tiny框架构建者认为，完全采用一种框架解决所有问题，是不现实的。而且即使目前找得到一种非常好的框架，暂时可以满足应用需要，但是随着技术的发展，业务的进化，就会慢慢变得不再满足业务需要。因此，Tiny框架构建从不再把做一套UI组件去适各种需求作为自己的目标。
反过来，我们看看在做Web应用中，可能会碰到的问题：
UI中JS的引入与顺序，JS合并的问题
UI中css的引入与顺序，CSS合并的问题
UI中碰到性能问题时的影响范围，比如：一个树出现问题，要改动许多用到树的地方
代码重复的问题，同样的内容在许多地方都有，如果要改动就要改动许多个地方
整体布局调整困难的问题
程序员需要关注的内容太多的问题，JS,CSS,布局，后台业务，前台展现，尼玛界面工程师必须得是全才才可以搞得定所有问题。
开发效率的问题
执行效率的问题，前台响应要求速度更快
集群的问题
国际化的问题
...
因此，我在以前写过一篇文章：UI开发的终极解决方案感兴趣的同学，可以去看看，今天的目标是利用TinyUI框架的重构SmartAdmin，使得更容易被使用。
SmartAdmin初识

SmartAdmin是一套基于JQuery,Bootstrap构建的UI组件库，说直白些，它就是个大杂烩，它把各种JQuery插件和Bootstrap整合到一起，提供了一整套基本完整的应用开发UI库，基本是拿着它就可以用来非常专业的应用系统了。

下面是界面，当然它内嵌提供了四套皮肤，可以进行切换的：

由于SmartAdmin是商业产品，需要购买，因此不能提供其Copy，据说在Bai可以搜到，据说可以下载。如果只是想看一下的话，请点击此链接：http://192.241.236.31/test4.smartadmin/
SmartAdmin分析
通过对SmartAdmin的分析，发现其复用了大量的开源插件，并且利用了Ajax加载技术，在运行期加载了大量的JS插件或CSS，整个页面采用Html+JS整合而成，许多JS与页面还是分离的，也就是说对本页面中的Dom元素的处理的JS不一定在当前html文件中，所以要想看得懂是非常困难的，如果想把它应用在自己的项目当中，也是非常困难的一件事情。
举个例子来说，要显示一个小部件，需要写这么一段内容：
?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

<div class="jarviswidget" id="wid-id-0">
�0�2<!-- widget options:
�0�2usage: <div class="jarviswidget" id="wid-id-0" data-widget-editbutton="false">
�0�2�0�2
�0�2data-widget-colorbutton="false"
�0�2data-widget-editbutton="false"
�0�2data-widget-togglebutton="false"
�0�2data-widget-deletebutton="false"
�0�2data-widget-fullscreenbutton="false"
�0�2data-widget-custombutton="false"
�0�2data-widget-collapsed="true"�0�2
�0�2data-widget-sortable="false"
�0�2�0�2
�0�2-->
�0�2<header>
�0�2<h2><strong>Default</strong> <i>Widget</i></h2>
�0�2�0�2
�0�2</header>
�0�2
�0�2
�0�2<!-- widget div-->
�0�2<div>
�0�2�0�2
�0�2<!-- widget edit box -->
�0�2<div class="jarviswidget-editbox">
�0�2<!-- This area used as dropdown edit box -->
�0�2<input class="form-control" type="text">
�0�2<span class="note"><i class="fa fa-check text-success"></i> Change title to update and save instantly!</span>
�0�2�0�2
�0�2</div>
�0�2<!-- end widget edit box -->
�0�2�0�2
�0�2<!-- widget content -->
�0�2<div class="widget-body">
�0�2�0�2
�0�2<p> Widget comes with a default 10 padding to the body which can be removed by adding the class <code>.no-padding</code>�0�2
�0�2to the <code>.widget-body</code> class. The default widget also comes with 5 widget buttons as displayed on top right�0�2
�0�2corner of the widget header. </p>
�0�2<a href="javascript:void(0);" class="btn btn-default btn-lg"> <strong>Big</strong> <i>Button</i> </a>
�0�2�0�2
�0�2</div>
�0�2<!-- end widget content -->
�0�2�0�2
�0�2</div>
�0�2<!-- end widget div -->
�0�2�0�2
</div>

这个程序员处理起来还是相当有难度的，好吧，这还不算过分的。
执行下面的命令：
dir *.js /s /w
运行结果：
?

1
2

所列文件总数:
�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2310 个文件�0�2�0�2�0�2�0�2�0�2 6,043,053 字节

执行下面的命令：
dir *.css /s /w
运行结果：
?

1
2

所列文件总数:
�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�236 个文件�0�2�0�2�0�2�0�2�0�2 1,511,412 字节

里面有这么多的JS，有这么多的CSS，它们的引入顺序也是非常重要的，稍有差错，就会有js错误的问题。
再来看看，JS加载过程：

可以看到，要访问大量的js，CSS，对于服务器的压力是比较大的，客户端加载时间也是比较长的，程序员要厘清这些关系，也是非常困难的。
SmartAdmin重构
对SmartAdmin重构，是指按照Tiny框架的体系结构来进行重构。
第一步，厘清关系
通过整理，发现smartadmin中使用的js插件有如下之多：
?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

bootstrap
bootstrapProgressbar
bootstrapSlider
bootstrapTags
bootstrapTimepicker
bootstraptree
bootstrapWizard
ckeditor
colorhelpers
colorpicker
datatables
delete-table-row
dropzone
easyPieChart
excanvas
fastclick
flot
FontAwesome
fueluxwizard
fullcalendar
ie-placeholder
ion-slider
jquery
jquery-form
jquery-nestable
jquery-touch
jqueryui
jqueryvalidate
js-migrate
jstorage
knob
markdown
maskedInput
maxlength
morris
msieFix
multiselect
notification
noUiSlider
pace
prettify
raphael
select2
selectToUISlider
smartadmin
smartwidgets
sparkline
summernote
superbox
throttle-denounce
typeahead
vectormap
x-editable

第二步：UI插件，组件包化：
比如JQuery组件包化，就是编写下面的文件：jquery.ui.xml
?

1
2
3
4
5

<ui-components>
�0�2�0�2�0�2�0�2<ui-component name="jquery">
�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2<js-resource>/jquery/jquery-1.11.0.js</js-resource>
�0�2�0�2�0�2�0�2</ui-component>
</ui-components>

比如JQueryUI组修的包化，就是编写下面的文件：jqueryui.ui.xml
?

1
2
3
4
5
6

<ui-components>
�0�2�0�2�0�2�0�2<ui-component name="jqueryui" dependencies="jquery">
�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2<js-resource>/jqueryui/js/jquery-ui-1.10.4.custom.js</js-resource>
�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2<css-resource>/jqueryui/css/smoothness/jquery-ui-1.10.4.custom.css</css-resource>
�0�2�0�2�0�2�0�2</ui-component>
</ui-components>

比如BootStrap组件包化，就是写下面的文件：bootstrap.ui.xml
?

1
2
3
4
5
6

<ui-components>
�0�2�0�2�0�2�0�2<ui-component name="bootstrap" dependencies="jqueryui">
�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2<css-resource>/bootstrap/css/bootstrap.min.css</css-resource>
�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2<js-resource>/bootstrap/js/bootstrap.js</js-resource>
�0�2�0�2�0�2�0�2</ui-component>
</ui-components>

其它类推，最主要的目的就是要分清，用到哪些JS,哪些CSS，并且整理组件包之间的依赖关系，比如，上面BootStrap就依赖了jqueryui，当然jqueryui依赖了JQuery
通过上面的依赖树Tiny框架就可以自动构建好CSS及JS资源。
因为这些资源都是放在Jar工程的main/resources目录中，因此就直接打进jar包了。
第三步，编写宏
比如，原来的Tab，需要涉及到html,js，编写后续使用的宏如下：
?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

#**
�0�2* JqueryUI Tab
�0�2* juiTab[1..1]
�0�2*�0�2�0�2�0�2�0�2�0�2 juiTabHeader[1..1]
�0�2*�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2 juiTabHeaderItem[1..n]
�0�2*�0�2�0�2�0�2�0�2�0�2 juiTabContentItem[1..n]
�0�2*#
�0�2
#macro(juiTab $juiTabId)
<div id="$juiTabId">
$bodyContent
</div>
<script>
�0�2�0�2�0�2�0�2$(document).ready(function(){
�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2$('#$juiTabId').tabs();
�0�2�0�2�0�2�0�2});
</script>
#end
�0�2
#macro(juiTabHeader)
<ul>
$bodyContent
</ul>
#end
�0�2
#macro(juiTabHeaderItem $juiTabContentItemId)
<li>
�0�2�0�2�0�2�0�2<a href="#$juiTabContentItemId">$bodyContent</a>
</li>
#end
�0�2
#macro(juiTabContentItem $juiTabContentItemId)
<div id="$juiTabContentItemId">
$bodyContent
</div>
#end

Ⅳ 如何让程序员更容易的开发Web界面

早在中国IT业方兴未艾之时，计算机应用系统主要以功能实现为主，几乎没有界面设计这个概念。时至今日，随着计算机和网络的不断普及，社会信息化程度日益加深，用户和市场的不断成熟，人们已经不仅仅满足于“够用”，而是更加强调“好用”“易用”；因此，不论是普通最终用户的个人软件，还是企业应用的大型系统，界面设计在系统构建中都成为了一个非常重要的方面。

但是，（至少在中国）由于IT业发展滞后、市场还不够成熟等原因，在绝大多数企业中，界面设计在软件系统开发中还没有获得与之重要性相匹配的一席之地，并且在企业运作和协调中也没有形成成熟的模式和解决方案，如何做好界面设计和开发，仍然是大家不断研究探讨的一个问题。

1.工作流程

下图，是整个开发过程中与界面设计相关的主要流程工作。

在整个系统界面的设计过程中，需要注意整个系统的统一，设计风格要一致，界面中的交互元素，从色彩、样式到排版方式、具体位置都要具备延续性，这样才能使用户尽快习惯整个系统操作。

6.典型交互模式

界面交互中，根据功能不同，有不同的交互方式。应该尽量提取抽象，尽可能减少交互模式的种类，或者把交互方式尽可能设计的类似，以方便用户快速熟悉系统。

7.Demo开发

Demo是详细设计阶段的重要成果之一，在对系统进行详细的分析设计之后，开发出界面Demo原型，主要作用是提供给合作客户，在基本功能、系统组成和易用性上进行测试。
本系统的Demo主要包括界面的设计制作，和部分客户端表现层脚本的开发。为了在后面的实际业务开发中尽可能获得重用，Demo的制作在页面规范、CSS样式定义和JS脚本编写方面都严格遵循了系统开发规范，并在以后的代码编写工作中严格执行。
本系统整个Demo包括大约50个页面，耗时月3周。
在后续的开发过程中，仍然要严格控制整个开发过程，保证整个系统界面的统一，并随时维护更新系统界面的设计。