时间:2023-12-07 01:28:03
论文关键词:行政记录;基本单位;名录库;数据库资源
基本单位名录库建设名列统计“四大重点工程”之首,掌握着一个地区各类单位的总体情况、组织形式、经济构成、规模结构,以及行业分布等情况,是为各级党委、政府调整经济结构、优化产业政策、规划城乡建设、加强市场监管提供重要依据的基础性平台。
一、行政记录在名录库工作中的重要作用
(一)用于生成待处理单位数据库
全国经济普查五年进行一次,为了能掌握到企业最新情况,按照《基本单位名录库制度》要求,在经济普查数据库的基础上每年对数据库进行两次更新维护。统计局系统首先要通过工商、税务、民政、编办等部门,对新增、变更和注销的单位进行行政记录筛选和资料收集,从企业在相关部门行政记录中登记的信息中对主要指标进行提取,形成初步的待处理单位数据库。通过从相关部门提取行政记录来形成初步的待处理单位数据库,大大节约了统计调查的成本,提高了调查效率,而且由于行政记录大都为企业自愿登记上报的,数据比较真实可靠。
(二)用来对待处理单位资料的可信度验证
在基本单位名录库的维护更新过程中,由于要从工商、国税、地税、民政、编办提取行政记录资料,所以入库后单位资料有很高的重复率,在基本单位调查程序中通过对这些行政记录进行排重和比对,统计出各单位资料的可信度,重复率高的企业可信度越高,这类企业大部分都正规,也便于调查和摸底。随着各行政部门基础资料的日益健全,一些行政记录以及成为统计指标的重要来源甚至是唯一来源。在统计工作中合理开发利用行政记录已经迫在眉睫,行政记录在统计工作中的重要作用已经日益凸显。
二、行政记录在名录库运用中存在的问题
(一)统计部门讨要数,部门报表不给力
虽然上级五部门曾经层层下发过联合文件要求各行政主管部门按时向统计局提供相关行政记录,但由于事隔几年,各主管部门人事变动后,新领导或工作人员对此项工作认知度和配合程度差,基本上都是统计部门一直在唱“独角戏”。部门提供的资料质量不高,录入信息错误和资料信息的不完整等情况给统计人员带来了繁重的比对工作量。
(二)部门资料不完整,数据质量参差不齐
从实际维护工作来看,各行政主管部门在进行注册登记时条件宽松,造成把关不严,数据质量不高。在很大程度上影响到了数据质量,每次年报和半年报都有超过一半的企业存在上述情况,这些企业都经过核实资料后附上说明进行了特殊处理,不然会严重干扰和影响到数据库的质量。
(三)单位代码多样性,代码标准不统一
单位代码的唯一性和权威性是基本单位名录库的命脉。当前,工商、编办、民政、税务各部门对单位代码、行业代码、隶属关系等各项指标的代码使用管理不统一,没有形成统一行政记录的交换标准,在数据库管理和使用上各自为政,相互难以衔接,且功能单一,应用范围狭小,与名录库指标相关度低,没有整合成一个各职能门共享的数据平台,造成了数据资源的浪费。
三、关于加强行政记录在名录库中应用的几点设想
(一)建立一站式服务窗口,加强与部门间的合作
为了提高数据质量,并简化企业新增、变更、注销的手续,我们要充分利用互联网,在政府的政务公开栏内对企业实行“一站式”服务,简化办事程序,提高办事效率。在政府网站政务公开栏内设计一个板块,由企业在网上直接填写注册、变更、注销等申请,按顺序限定时间由工商、税务等部门逐级在网上受理并进行批复,并将各项注册码和税务登记证号在网上直接进行反馈。简化了企业的办事程序,提高了政府的工作效率,确保资料的完整性和准确性。
(二)建立统一的分类标准,规范指标代码的使用
基本单位名录库建设必须立足于现有基础,充分利用各有关部门行政管理部门的现有资源,最大限度地衔接和统一各部门对基本单位的认定标准,使用统一的基本单位划分标准、组织机构代码、行业分类代码、登记注册类型等统计分类代码;以便各相关部门资料能够互相衔接,便于部门间的数据资源共享。
(三)加强系统软件的开发,提高数据库资源使用率
要想提高名录库的维护更新率以及利用率,我们需要突破统计内网的制约,通过对程序中使用和审批权限的设定,在一定程度上实现名录库的资源共享。我们可以设想,开发一套将各部门功能整合在一起的系统,在系统内部对相关指标进行关联,各行政部门可以通过各自的权限使用程序中与本部门相关的功能。并且,在各行政部门对本部门行政记录进行维护更新时,受程序中关联功能的影响,能够同步更新名录库中的相关内容。不但能整合各部门的数据资源,还能统一各部门之间的指标分类标准,还能大大提高工作效率,提高数据库的维护更新率,能更准确、及时的反映出各单位规模以及经营情况的变化。
我们还可以设想,将部门资料和三维地图进行整合,不但能免费为企业起到宣传的作用,而且能方便投资者更理性的对区域内行业分布和消费结构做出更准确的判断,进而更准确的定位投资项目,在很大程度上提高统计资料的利用率和外界对统计信息资料的认知度,极大的推动统计资料公开化、统计人才高端化、管理手段现代化的进程。
一、领导重视,精心组织
今年以来,广汉市统计局把基本单位名录库工作做为统计基础工作的重点,不断充实和完善组织机构,夯实基本单位统计基础工作,健全完善各项制度,高质量完成2011年基本单位统计工作。
(一)领导重视,明确责任
以广汉市人民政府办公室的名义下发了《关于进一步做好基本单位名录库系统建设工作的通知》(广府办[2011]61号)。建立了广汉市基本单位名录库系统建设领导机构和主要由市统计局牵头负责,各相关部门分工负责的部门协作机制;强调了基本单位名录库系统建设维护管理工作的重大意义和重要要性,明确了部门职责和任务。
(二)精心组织,抓好落实
召开乡镇和部门协调会,统一认识,使各乡镇和相关部门从高度上重视基本单位名系库系统建设工作,加深部门间的合作关系,促进乡镇、部门积极参与名录建设工作热情,为准确摸清基本单位增减变动情况打下了良好基础。多次召开业务培训会,使基层统计员全面、深入的掌握名录库维护管理流程和操作系统,不断提升名录库维护管理质量。
二、夯实基础,做好名录库维护管理工作
基本单位名录库是统计工作的基础,切实做好名录库单位的维护更新管理,是完善各项统计工作的重要保障。
(一)适时更新,确保“两库”一致
按季做好基本单位名录库日常维护更新工作;严格“三上”企业审批流程,做好“三上”企业的新增、退出管理,密切与专业的联系,定期和不定期的进行核对,确保名录库和专业库指标一致。
今年3月,集中开展对全市“三上”企业的清理、核实工作,同时把新增规上企业做为核点,对新进的规模企业进行全部走访调查,确保了“两库”企业资料真实、完整、有效,为企业网上直报工作奠定了坚实的基础。
(二)信息共建,做好名录库维护管理延伸拓展
今年以来,广汉市统计局严格按照省、德阳市局相关要求,积极推进“一库在线、基层维护、适时更新、共建共享”的基本单位名录库建设维护更新模式,切实把基本单位名录库维护管理工作延伸拓展到基层。
下放权限。给开发区、全市18个乡镇,以及雒城镇辖区内18个社区建立用户名。每季度由乡镇、社区对变动企业的生产经营状况进行实地审查,并在系统中进行维护更新处理,市统计局不定期进行抽查核实,这种管理模式有效减轻了市级的工作负担,极大提高了工作效率。
基本单位名录库系统延伸到基层乡镇、村(社区)后,各乡镇党委政府能够及时通过系统平台,方便、快捷地获取所辖单位信息,为地方政府科学决策提供了有效的依据,同时也为五年一次的经济普查奠定了良好的基础。由于乡镇和社区能够及时掌握本辖区内企事业单位的动态信息资料,因而能够更加及时、快捷、方便、准确的对名录库单位进行维护,使统计基础工作得到进一步加强。
(三)深入基层,搞好名录库调研、指导工作
名录库单位资料的清理、核查工作主要由乡镇及村(社区)进行,强化基层统计人员业务水平,优化名录库网络运行环境是使名录库系统得到有效维护,名录库单位质量得到有效保证的基础。今年,广汉市统计局多次深入到乡镇、社区,对基层名录库维护管理工作进行走访、调查,尤其是对涉及单位多、面积宽的新丰镇、雒城镇及雒城镇社区等多次走访,对他们在核查和操作过程中遇到的问题给予认真的指导和解决。目前广汉市基层统计人员均能全面、正确的掌握名录库单位清理核查工作和系统维护管理操作流程。
三、下一年工作计划
关键词:名录库 现状 问题 对策
建设基本单位名录库,是国家统计局确定的“四大工程”之首,是专业统计调查的基础,只有建设好基本单位名录库,才能为以单位为对象的各类统计调查提供完备真实的调查单位库和抽样框,有效提高统计调查的科学性。近年来,鹿城区统计局在基本单位名录库建设方面积累了一些经验,并取得了一定成果,但同时也存在着一些问题。现结合我区实际情况,就如何做好基本单位名录库工作,提出一些意见和建议,供大家参考。
一、基本单位名录库建设现状
1、基本单位名录库维护更新基本情况。目前全区基本单位名录库建设是以2008年全国第二次经济普查的结果为基础,按季度与我区相关部门(工商、税务、编办、民政等)数据进行比对修正,按在地统计原则,将本辖区内的对比情况进行逐一核查,并要求新增、变更单位填报101表(基本单位基本情况表),据实在数据库中进行更新维护。第二次经济普查后,名录库通过几次维护更新,信息不断充实。到2011年底,全区拥有基本单位23051个,其中:企业21080个,事业531个,机关183个,其他1257个。
2、基本单位名录库部门协调情况。定期联系区地税局、区国税局、区工商局、区民政局、区编办等部门,加强部门间的沟通协调,理顺数据来源途径。对维护更新基本单位名录库提供相关资料的办法及责任进行了规定,明确了专人负责。目前,市局负责加载税务部门季度数据,其他部门数据由我区统计局搜集整理和加载。
3、基本单位名录库队伍建设情况。全区名录库维护人员队伍正逐步得到加强,区统计局为基本单位名录库建设配备了2名工作人员,专(兼)职从事全区基本单位名录库建设工作,各街道(镇)配备专(兼)统计人员协助区统计局做好基本单位名录库建设相关工作。对各街道(镇)名录库建设人员的业务素质和业务水平做了明确规定,并保持名录库维护人员队伍的稳定。
二、基本单位名录库建设存在的主要问题
1、部门协调难、数据口径不统一。目前具有审批权限、登记管理基本单位的职能部门很多,现行行政管理体制决定了各部门登记管理标准、口径、时间不统一,形成“各吹各的号、各唱各的调”的局面,与建立标准统一、适时更新、资料共享的基本单位名录库系统极不适应。而基本单位名录库目前是每季度进行一次资料更新,这是一项综合性很强的工作,必须有强有力的组织措施和约束机制来保障。
2、维护更新工作量大,核实难度更大。基本单位的新增、变更与注销是由编制、工商、税务和民政等部门依据法定职责负责实施,统计部门只是在事后对其加以维护,导致基本单位被注销时间与统计部门维护时间不一致。新增单位很难做到全部调查登记,部门提供的新增单位有些无法联系,按提供的地址、电话找不到营业场所和负责人,造成新成立单位登记困难。季报反馈单位多,要全部入户调查填表,工作量很大。全区每年新增、变更、注销的单位就有5千家左右,这项工作主要由区统计局名录库维护人员完成,每一次基本单位名录库季报都是时间紧、任务重。
3、单位代码的标准和使用管理不统一。基本单位名录库维护中有相当一部份单位没有组织机构代码,其主要原因是这些新增单位在相关部门注册后,不及时、自觉地到质检部门申请组织机构代码,而这些没有正式代码的单位一旦被登记录入名录库中,就将成为临时代码单位,等以后申请了组织机构代码,会使名录库维护中出现两种怪现象:一是用新代码在库中查找不到,使得这些单位丧失再次维护的机会;二是名录库中单位出现了重名不重码的情况。
三、进一步完善基本单位名录库建设的几点思考
1、提高认识,加强部门协调。基本单位名录库系统建设是一项庞大的社会系统工程,区政府应成立由相关部门参与的名录库系统建设领导小组,每年组织召开协调会,统计、编制、工商、民政、税务、质检等有关部门要从战略高度充分认识基本单位名录库工作的重要性,高度重视名录库系统建设工作,加强沟通协调,使名录库系统建设真正形成合力。
2、建立和完善信息库共享机制。在建设完成一个全面的、权威的、动态管理的基本单位名录库的同时,必须充分开展调研,采取有效措施,加大对基本单位名录库资料的开发利用力度,全面构建共享机制,真正实现名录库的信息共享。政府各部门可以通过这个共享的名录库进行行政信息的相互比较、相互印证,简化行政程序,全面提升政府效率和服务、监管水平。社会经济实体和普通公民可以通过共享的名录库获得相关信息,达到认识各市场主体,开拓和促进商业交流的目的。
3、加快信息化建设,推进名录库更新维护向乡镇一级延伸。加快推进统计信息化建设,为基本单位名录库建设提供必需的信息技术支持。按照“全市一库,分级网络维护”的思路,借鉴先进县(市、区)开发应用基本单位名录库管理系统的经验,积极推进名录库更新维护向乡镇一级延伸,理顺市、区、镇三级名录库管理维护工作分工,确保各级工作合理高效。试行镇级名录库维护更新制度,提高基层名录库管理人员的业务素质,从源头上确保基本单位名录库工作的质量。
4、加强督导检查,狠抓工作落实。名录库建设是一项系统工程,涉及面广,协调难度大,特别是基层,人员少、兼职多,对基本单位疏于管理,督导检查往往流于形式。为此,各级政府统计部门要制定严格的督导检查制度,开展自查、互查、专项检查、通报等多种形式的检查验收,切实保证基本单位名录库得到及时更新维护,做到完整准确。
参考文献:
1、《法国企业名录库培训教材》(中法企业名录库项目组编译)
2、《美加英澳名录库建设集锦》(国家统计局普查中心编译)
关键词:电力企业班组;管理建设;工具管理;基础数据;Access数据库;VB编程语言 文献标识码:A
中图分类号:F426 文章编号:1009-2374(2015)08- DOI:10.13535/ki.11-4406/n.2015.
1 概述
目前广东电网的安全生产管理信息系统没有工具管理项目。工作班组日常工作需用到的仪器、测试设备等工具,在事故抢修中需要快速领用与归还,而且安全风险体系建设要求规范工具物资的日常管理。鉴于电力企业的工具存放管理多为传统的库房管理模式,需要全职的库房管理员,对库内物资人工盘点,纸笔登记。随着规范化管理建设对物资的管理要求,传统的库房管理模式费时、费力,存在安全隐患,已不能适应新形势下的管理要求。
2 目前的工具管理模式
电力企业为提高工具管理效率,提高电网设备故障处理响应速度,规范工具管理水平,目前继保班组每天使用工具时,人手记录工具使用情况,记录的简表内容(序号;工具名称;使用人;使用日期;归还人;归还日期),记录过程中出现如下问题:
2.1 手动记录工作烦琐
使用工具时,需要填写工具名称、使用人、使用日期;归还工器具时,需要填写归还人、归还日期。一次工作需要使用多件工器具,也就需要记录多次。
2.2 工器具查询工作复杂
班组人员当找不到某件工器具时,通常询问其他班员或者一页页地查找手写记录簿,无法实现电子化查询。
2.3 容易丢失工器具
由于记录烦琐,工作人员有时不记录工具的使用,但带出库房后,工具放在车上没有归还库房或者暂存在变电站,导致下一工作人员无法得知工具去向,也就无法领用的工具。
2.4 工具统计工作量大
为防止工具丢失,每周统计一次工具库存,对于发现未归还库房的工具,从纸质使用记录里一项项地查找使用时间和使用人,再跟踪到人追查工具去向。
2.5 同名工具无法识别
一个工作班组通常有多套同种工具以利于分组开展工作,记录工具名称时将记录同一个名称,追查工具时对于多件同名工具无法确定使用人和使用时间。另外,对于同一件工具名称,有人写全称,有人写简称,导致名称与实物对不上。
3 设计工具管理系统
开发专用的软件实现工具自动管理。编程软件Visual Basic是一种高级编程语言,从较早版本之BASIC到现在的Visual Basic,都是一种容易学习的编程语言;数据库软件Access是Office办公套件的其中一个组件,简单易用。Visual Basic能非常专业而友好地管理Access、Dbase、Paradox等等的数据库。
3.1 数据库设计
数据库用于存放工具信息,包括工具名称、使用记录等,以文本形式记录在Access数据库文件里,数据库设计得完善有利于程序的简化,因此应设计合理的数据库文件,以满足应用程序使用。
数据库设计成两部分:一是工具基础数据,记录工具的参数信息;二是工具使用数据,记录工具进出信息。设计效果后如图1所示:
图1 工具信息的Access数据库
3.2 应用程序设计
应用程序用于读取工具数据库信息,是计算机程序与用户的人机对话界面,班员无需查看数据库文件,从应用程序显示界面里能了解工具信息,通过应用程序实现人员登录、使用、归还等功能。
3.2.1登录:校验班员名与密码的正确性。在图2的登录界面上设置一个Combo1.text复选框,里面存放班组人员姓名,再设置一个文本框,可输入登录密码,程序设计如下:
图2 登录界面
ToolUse.LogN = Combo1.Text----读取Combo1里的班员姓名
If txtPassword = "123" Then----判断密码
LoginSucceeded = True----密码正确标记
Unload Me----关闭登录窗口
ToolUse.Show----显示工具管理程序界面
Else
MsgBox “密码错误,请重输!", , "登录"
班员选择用户名,然后填上密码,按“确定”按钮,如果密码正确,则登录为True状态,如果密码不正确,则提示“密码错误,请重输!”。
3.2.2 使用:记录使用工具信息。在图3的应用程序界面上,设置“使用”按钮,程序设计如下:
图3 工具管理应用程序界面
bb = InputBox(“请输入要使用的工具编号", "输入编号")----弹出对话框,提示班员输入工具编号
If Data1.Recordset.Fields(“状态") = "在库" Then----工具在库,则可使用;如不在库,无法使用
Data1.Recordset.Edit----数据进入编辑状态
Data1.Recordset.Fields(“状态") = "使用中"----数据库的“状态”字段改为“使用中”
Data1.Recordset.Fields(“使用人") = LogN----数据库的“使用人”字段改为登录的姓名
Data1.Recordset.Fields(“归还时间") = ""----清空该工具上一次的使用时间
Data1.Recordset.Fields(“归还人") = ""----清空该工具上一次的使用人姓名
Data1.Recordset.Fields(“使用时间") = Now----数据库的“使用时间”字段改为当前系统时间
Data1.Recordset.Update----更新数据库内容
Data1.Recordset.FindFirst “编号='" & bb & "'"----使图3界面显示该编号的工具最新状态,班员可查询工具是否成功登记使用。
3.2.3 归还:记录归还工具信息。在图3的应用程序界面上,设置“归还”按钮,程序设计如下:
If Data1.Recordset.Fields("状态")="使用中"Then----工具在使用中,则可归还;如不在使用中,无需归还
Data1.Recordset.Edit----数据进入编辑
Data1.Recordset.Fields("状态")="在库"----数据库的“状态”字段改为“在库”
Data1.Recordset.Fields("归还人")=LogN----数据库的“归还人”字段改为登录的姓名
Data1.Recordset.Fields("归还时间")=Now----数据库的“归还时间”字段改为当前系统时间
Data1.Recordset.Update----更新数据库内容
3.3 程序健壮性设计
程序的健壮性(Robust),也称为程序的容错性。它反映了程序正确处理错误数据和错误操作的能力。编制一个合理的应用程序,遇到用户错误输入时,应该首先判断用户输入的数据是否合法,如果合法,再进行计算。不合法,应提示用户。
班员在要使用一件工具,在输入工具编号时写错了编号数字,导致应用程序查询不到该编号对应的工具,设计如下代码,程序将给出错误工具编号提示,提示班员正确输入编号。
If Data1.Recordset.NoMatch=True Then
MsgBox"没有此编号的工具",,"库存提示"
班员归还工具时,忘记在工具管理系统里登记就直接放回库房。下一个班员使用该工具,登记使用时程序应不能登记,设计代码如下,程序将给出工具未归还提示,提示班员完成上一次归还记录流程。
If Data1.Recordset.Fields("状态")="使用中"Then
MsgBox"该工具正在使用中,不能领用",,"使用提示"
4 结语
电力班组人员开发的工具管理系统软件,在企业中运行良好。减轻了班组成员的手工登记工作量,配合激光扫描枪,能更快地读取工具数据信息。输入工具编号,能立即查询到工具去向和使用记录,避免工具丢失。从数据库文件里导出工具信息文件,能自动统计工具使用情况。应用智能化管理系统登记软件,能有效减少同名工具的误记录。工具管理系统软件在电力班组中大大提高生产效率。
参考文献
[1] 国家电力监管委员会安全监管局.电力企业班组安全建设[M].北京:中国电力出版社,2013.
[2] 山西电力公司组.供电企业岗位技能培训教材[M].北京:中国电力出版社,2011.
[3] 王晟,韩泽坤.Access数据库开发经典案例解析[M].北京:清华大学出版社,2006.
[4] 刘炳文.Visual Basic程序设计教程(第四版)[M].北京:清华大学出版社,2009.
基金项目:广东电网有限责任公司东莞供电局职工创新项目(项目编号:ZG-DG2014-0064)。
对于采用Access数据库的网站来说,如果存在数据库下载漏洞,会给网站的安全性造成极大的危害,可以说是小漏洞大危害。下面就用我亲身经历的一个案例来展示数据库下载漏洞的危害。
一次在访问一个县的广电系统的门户网站时,出于习惯,顺手在网站地址后面加了个admin/,出现了“This Virtual Directory does not allow contents to be listed.”的错误提示,如图1。
通过数据库获取密码
看来存在admin目录。admin目录一般是网站的后台目录,看到存在admin目录,就决定看看网站的安全性如何。虽然知道了可能的后台目录,却还不知道后台登录页面的文件名,来试试常见的后台登录文件的名字,首先尝试admin_login.asp,提示“系统找不到指定的文件”,看来后台文件不是admin_login.asp,再尝试login.asp,这次出来了后台登录页面,如图2。
通过后台登录页面上的文字知道网站采用的程序是FoosunCMS 4.0。尝试了几个比如用户名admin密码admin等弱口令都不对。这时候想到了网站用的是FoosunCMS 4.0,到网上下载FoosunCMS 4.0的源代码,然后在源代码中看能不能找到可以利用的地方。在中国站长站下载到了FoosunCMS网站内容管理系统 v4.0 sp7的源代码,解压下载回来的文件后发现FoosunCMS网站内容管理系统 v4.0 sp7采用的是Access数据库,默认存放数据库文件的目录为Foosun_Data,存放管理员信息的数据库的默认名字为FS400.mdb,如图3。
看这个网站的数据库文件是不是还是默认的目录默认的文件名,在网站地址后面加上Foosun_Data/FS400.mdb,出现了下载文件的对话框! 如图4。
很幸运,目标网站没有更改存放数据库文件的默认目录也没有更改数据库文件的名字,导致我下载到了网站的数据库文件。用Microsoft Office Access 2003打开下载回来的数据库文件,在表FS_MF_Admin中发现了管理员的用户名admin和密码db7636b853b11fce,如图5。
破解密码登录后台
密码到在线破解网站/default.aspx进行破解,显示“已查到,这是一条付费记录,密文类型:md5。”,查到了,但需要付费用户登录后才能查看结果,找了个有付费用户的朋友帮忙,得到密码zaijian$alang。
用得到的管理员的用户名和密码进入了后台,如图6。
在后台首页看到WEB服务器软件用的是Microsoft-IIS/6.0。在后台看能得到webshell不。在“新闻管理”下点击“添加新闻”来到了添加新闻的页面,点“插入/编辑图像”按钮,然后在出来的“图形属性”对话框中点“浏览服务器”按钮就来到了如图7的上传图片的地方。把ASP木马服务端代码保存为文件x.asp;x.jpg。点图7中的“上传”按钮,在“文件1”中通过“浏览”按钮选择x.asp;x.jpg,一定要保证自动命名的选项为“不自动命名”,点“确定”按钮后文件x.asp;x.jpg上传到了服务器上,而且上传上去后的文件名还为x.asp;x.jpg,如图8。
文件x.asp;x.jpg上传到了Files目录下,访问地址为/Files/x.asp;x.jpg。shell的地址就是/Files/x.asp;x.jpg。可能有人会问.jpg文件怎么会是shell文件呢?Microsoft-IIS/6.0有一个解析漏洞,会把x.asp;x.jpg当成ASP文件来解析,网站WEB服务器软件用的是Microsoft-IIS/6.0,正好可以利用解析漏洞。用lake2的eval最小马发送端连接shell的地址/Files/x.asp;x.jpg,写上密码a,发现shell的功能正常,如图9。
获得网站控制权
得到这个shell就获得了对网站文件的完全控制权,利用shell可以上传文件到网站,可以编辑网站下的所有文件,当然也可以删除网站目录下的任何文件。至此一个小型门户网站的安全性荡然无存,如果我在网页文件中插入挂马代码进行挂马,后果更是不堪设想。好在我只是看下网站的安全性,很快删除了shell文件,没有对网站目录下的任何文件进行修改或删除。
这个数据库下载漏洞只要还存在,就有可能被别人也利用这个漏洞得到网站的shell,至于后来者会不会做出危害网站的事情,谁也不敢保证。只要这个漏洞还存在,网站的安全就面临着一个随时可能爆炸的炸弹。
数据库下载漏洞是一个低级的小漏洞,但它的危害性却是巨大的。一旦这个漏洞被人利用,轻则一个网站彻底沦陷,重则网站所在的服务器沦陷,更甚者,一个服务器集群都可能因这个小漏洞而沦陷。
其实,数据库下载漏洞很好修补,把默认的数据库文件的名字改成一个比较复杂的名字就可以了。修改网页的版权信息,不让入侵者知道你网站用的是什么程序进而不知道到哪里找默认数据库文件的名字也是一个不错的防范数据库下载漏洞的方法,不过最彻底的方法还是修改数据库文件默认的名字。
【关键词】数据库 Access SQL Delphi7
第一章 应用系统整体方案
1.1应用需求分析
专卖店信息管理系统具有以下功能:
(1)具有良好的人机界面。
(2)有较好的权限管理。
(3)支持多条件数据查询。
(4)系统支持良好的数据备份和还原操作。
(5)可方便的删除数据。
(6)数据计算自动完成。
1.2 开发工具的选择
本系统后台数据库采用SQL,该数据库系统安全性、准确性运行速度方面有绝对的优势,并且处理数据量大,效率高;前台采用Delphi7作为主要的开发工具,可与SQL数据库进行无缝连接。
1.3 项目规划
本系统功能模块分为商品管理、财务管理、会员管理、系统管理四大类,具体规划如下:
⑴、商品管理。
商品管理分为商品入库,商品出库以及库存管理。在这里面,通过添加和编辑商品或者入库单/出库单的方式来实现商品的管理,记录商品的流动情况和商品的状态。分类如下:
商品入库包括:入库单录入编辑(添加入库单和编辑入库单)、入库单删除、收付款编辑(入库单付款)、入库明细录入编辑(添加商品);商品出库包括:出库单录入编辑(添加出库单
和编辑出库单)、出库单删除、收付款编辑(出库单付款);库存管理包括:入库明细录入编辑(添加商品)、库存录入编辑(新添/编辑)。
⑵、财务管理。
财务管理分为付款,收款以及帐务查询。其中,帐务查询采用的查询方式是流水帐号模糊查询和时间查询段。收款,付款中,每一笔帐务也都是和流水帐号以及操作员,单号直接挂钩。
⑶会员管理。
首先,会员分为两种,一种是客户,另一种就是客商。客商是商店商品的来龙,客户就是商品的去脉。这两种会员结合在一起,形成了一条商品流通链。包括会员档案和会员帐页。
⑷、系统管理。
系统维护涉及到商品的入库方式编辑,出库方式编辑,收付款方式编辑,人事管理编辑,商品类别编辑以及系统信息。相当于系统的后台管理。
1.4.1数据库概念设计
根据对专卖店销售行业进、销、存各部分的分析和行业特点的要求,以及系统运行和数据流程的分析,得到了13张表,部分表如下:
⑴、出库单(出库单号、出库类别、客户名称、出库日期、操作员、备注)
⑵、入库单(入库单号、入库类别、供应商、进货日期、操作员、备注)
⑶、客户客商信息表(客户名称、客户性质、单位地址、电话、负责人、联系人、开户行、银行账号、税号、传真、备注)
⑷、人事库(员工编号、姓名、性别、部门、出生日期、录用时间、文化程度、口令)
⑸、收付款(流水账号、性质、单位、收付方式、金额、操作员、日期、备注)
1.4.2数据库逻辑结构设计
选用Microsoft Access2000数据库来进行数据库的逻辑设计,创建13个基本数据库表,然后根据全局ER图,建立各个表之间的联系,部分主要数据库如下所示:
gonumbers 出库单号,gogenre出库类别,GoodsName客户名称 , GoodsTime出库日期,CompanyName操作员,Remark备注
第二章 专卖店管理系统应用程序设计
2.1 系统的总体流程
本系统的主要业务流程是员工根据自己的登录名和密码进行登陆,系统根据用户的登录名得知用户的操作权限进行操作系统。
2.2.1 登陆窗体模块:
在本窗体中,实现了用户名和口令登陆的方法,当人事库有记录的时候,系统默认登陆的用户名为人事库的第一个员工,当用户输入口令,确定之后,系统搜索人事库表,寻找人事库中字段名为”姓名”和”口令”的值,当”姓名”值与姓名选择框的值相等,并且”口令”值与口令输入框的值相等的时候,登陆成功,进入主窗口,如果密码错误,则弹出系统错误。这里有一点特殊情况,即当口令框为空的时候,系统同样检测人事库中口令为空的项,同样对它进行检测,如果成功,则进入主界面,不成功,则弹出系统错误提示。
系统登录界面和主界面。
2.2.2 商品入/出库功能的实现
① 添加入/出库单 添加入/出库单用来添加新的进货单,添加的时候自动给进货单编号,用户选择客商(入库时)/客户(出库时),入/出库类别以及操作员,最终添加完成。在添加的过程中,应注意供应商/客户不能为空。
② 编辑入/出库单 编辑入/出库单用来编辑进货单,可编辑的项有入/出库单号,入/出库类别,供应商/客户,进货日期和操作员。
③ 删除入库单 当准备删除的入/出库单有相关联的进货记录的话,则不能删除。
出/入库单录入管理用来实现出库单和入库单录入的管理功能,出/入库单录入管理和出/入库明细录入编辑以及收付款编辑组合在一起,实现了进货-库存-卖出的一个完整的商业链过程。
付款:付款是针对入库单而言的,商家进货的过程中发生。
收款:收款是针对出货单而言的,商家卖出货品的时候发生。
2.2.3 库存管理
库存管理用来管理库存商品,实现库存录入和编辑,以及各种商品详细信息,进货明细表,售货明细表的查询功能,同时实现对商品类别的模糊查询。
2.2.4 财务管理功能的实现
① 收付款功能
收付款功能在商品出库和入库管理中已经有了介绍,这里不在详述。
② 帐务查询功能
帐务查询功能实现了专卖店所有的帐务查询。采用的是流水帐号模糊查询和时间段查询。
2.2.5 会员管理功能的实现
① 会员档案管理
会员档案管理实现专卖店所有会员的一些基本信息,通过客户客商编辑窗体来实现档案的管理。
②会员帐页管理
会员帐页管理页面实现了对所有会员所有帐务的查询功能。查询结果包括:会员信息,入库单,全部进货清单,出库单,全部售货清单,全部帐务,进货明细,付款明细,售货明细,收款明细。
2.2.6 系统维护功能的实现
维护实现了入库方式,出库方式,收付款方式,人事管理,商品类别以及单位信息的管理和维护。
【参考资料】
[1]东方人华.Delphi7入门与提高.北京:清华大学出版社
[2]杨学全. SQL Server 2000实例教程. 北京:电子工业出版社
关键词:Oracle;数据库;操作系统;恢复
中图分类号:TP311.13
鉴于Windows操作系统的普及性和易用性,目前有相当一部分ORACLE数据库服务器是基于Windows服务器操作系统的(Windows Server2003、Windows Server 2008)。当Windows因病毒或因其他原因崩溃需要重新安装部署时。Oracle数据库的恢复是技术人员经常遇到的问题。通常,DBA会定期通过EXP导出DMP文件,或是使用RMAN工具来完成备份和恢复工作。但是对于不熟悉Oracle的用户来说,这些方法具备一定的技术门槛。其实,只要Oracle的文件目录没有被破坏,对Oracle的文件目录结构有基本的了解,使用Windows的一些基本操作,同样也可以完成数据库的恢复。本文就以Oracle 10G在Windows Server2003服务器环境下为例,介绍这种简单快速的数据库恢复方法,使不具备DBA知识的操作人员也能够在Windows服务器操作系统无法启动的情况下快速恢复数据库。
1 数据库恢复流程
1.1 准备工作
首先,需要对原有系统的Oracle安装目录做好备份。建议使用Windows PE工具启动故障服务器,查找Oracle安装主目录。将目录内全部内容拷贝做备份。记录目录路径。(例如Oracle安装在D盘根目录下,就将D:\oracle目录的全部内容备份。并记录原始安装路径为D:\oracle)。其次,记录故障服务器的IP地址和计算机名信息。由于故障服务器的操作系统损坏无法启动,因此无法通过常规方法获得这些信息。笔者建议从经常访问该数据库服务器的客户端主机中找到Oracle目录的TNSNAMES.ORA文件,该文件中包含了数据库服务器IP或主机名信息。如果客户端主机无法轻易访问,也可以从之前备份出的Oracle文件夹中找到listener.log文件来获取这些信息。路径为\oracle\product\10.2.0\db_1\NETWORK\log\listener.log(视Oracle版本不同,文件的路径可能不同)。最后,记录需要恢复的数据库名。找到访问之前备份出的Oracle文件目录,打开\oracle\product\10.2.0\admin文件夹,Oracle针对服务器上的每一个数据库在该路径都单独建立了以数据库名命名的文件夹。记录这些文件夹名即可。
1.2 重新安装Windows操作系统
确认准备工作中所有信息收集完毕后,即可开始操作系统的安装。无论是在原服务器上恢复数据库还是在新服务器上重新部署数据库都需要注意磁盘分区和盘符问题。新安装的系统必须包含准备工作中记录的Oracle安装路径所在盘的盘符。以上文记录的Oracle安装路径为例,新系统必须包含D盘。安装完成后,将计算机名、IP地址信息修改为准备工作中记录的内容,确保新的操作系统环境与故障前的一致性。
1.3 重新安装Oracle DataBase
操作系统重装完毕后,开始安装Oracle 10G Database服务器端软件。注意选用的软件版本一定要与原始服务器安装的版本一致。安装过程中,选择基本安装即可,注意Oracle主目录位置选择要与准备工作中记录的原服务器Oracle主目录位置保持严格一致。如果要恢复的原服务器中并没有名为orcl的数据库,则启动数据库的复选框可以不勾选,这样点击下一步执行安装。
图1 安装Oracle数据库服务
安装完成后,新系统ORACLE路径下已经自动生成了相应的文件。只要在新的服务器上手工建立同原服务器名字相同的数据库即可。使用ORACLE 10G自带的Database Configutarion Assistant工具,根据提示完成操作。所有步骤默认初始配置即可,在第三步数据库标识处注意输入数据库名称。
图2 创建数据库
此时再次打开\oracle\product\10.2.0\admin文件夹,可以看到以这些数据库名命名的文件夹已经自动生成。此时新服务器上的Oracle文件目录结构与故障服务器上的已经十分接近。
1.4 数据库恢复
上述工作完成后,关闭新服务器上的Oracle服务,开始恢复工作。
右键“开始”菜单,选择“任务管理器”,将以ORACLE开头的进程全部结束。然后点击“我的电脑-管理服务和应用程序”,选择服务菜单,窗口右侧列出了系统运行的所有服务。找到以ORACLE为开头命名的服务,一一将其关闭,为备份恢复做好准备。
将备份的原始ORACLE文件夹拷贝到新系统的ORACLE安装路径,覆盖现有ORACLE文件夹即可。
重新打开和ORACLE相关的各项服务后,恢复工作基本完成。这时点击“开始-运行”,输入“cmd”进入命令行模式,使用sqlplus命令尝试登陆数据库。
sqlplus /nolog
conn / as sysdba
如果报监听错误,则在命令行模式中输入lsnrctl start,开启监听程序即可。至此,ORACLE数据库恢复完毕。
2 结束语
通过本方法恢复ORACLE数据库,操作人员只需对ORACLE文件目录结构有基本的认识,熟练掌握Windows基本操作即可。备份方法也快速简单,归档容易,属于一种低度维护,高度安全的方法。当然,这种方法也存在一定的局限性,例如备份恢复中数据拷贝的时间可能过长、不能按表或者按用户来恢复数据等。
参考文献:
[1]王琴,宋顺林.ORACLE数据库管理系统的备份策略及应用举例[J].计算机工程,2002(02).
[2]魏莉,赵纯坚.ORACLE数据库备份技术探讨[J].信息技术,2008(09).
作者简介:李睿(1987-),男,山西晋中人,助理工程师,本科,研究方向:数据库技术。
关键词 vba word 数据库 bookmark(书签)
在实际工作中,常常需要将数据库中的数据放在word文挡中。例如学校每期都要将学生的成绩填入到通知书中寄发给学生(家庭)。传统的实现方法是在word手工输入或用数据库软件编写一个专门的程序(模块)来完成此项工作。本文采用vba作为开发语言,用宏命令的方法实现了access数据库或foxpro数据库中的数据在word中的自动成批替换。
1 实现方法
先在word中建立一个名为“通知书.dot”的模板,将通知书中固定的文字内容输入到该模板中, 将变动的文字内容(取数据库中的字段值)设置成书签(右图中的name、math等)。为了编程方便,书签名可取数据库表中相应的字段名。完成后存入office的templates(模板)目录下。
要实现vba与数据库microsoft access 97的连接,在word中选主菜单 ”工具\宏\宏名”打开visual basic编辑器;选vba主菜单条上[工具]菜单项下的[引用]命令,激活[引用]对话框,从可使用的引用列表中选择microsoft dao 2.5/3.5 compatibility libray一项,然后单击[确定]按钮,把它引用到工程中来。
接下来在模板中编写出一条宏命令,直接在word中用程序代码实现对数据库的读取。对access数据库,用语句set md = dbengine. opendatabase (“成绩库.mdb”)打开名为“成绩库.mdb”的数据库,用语句 set rs = md. openrecordset("学生成绩表", dbopentable) 打开数据库中的表名为"学生成绩表"的记录集,本命令只对记录集进行查询,为了提高查询速度,选择了快照dbopensnapshot类型的记录。对于foxpro的dbf数据库,用语句 set md = opendatabase("d:\grade\学生成绩表", false, false, "foxpro 2.5")打开名为“成绩库.dbf”的数据库,用语句set rs = md.openrecordset("学生成绩表")的记录集。因为数据库中一条记录对应一个学生,每个学生都要打印一份通知书,都要用通知书的内容(包括书签),要将模板中的通知书全部内容复制到一个新建的临时文档中,处理完一条记录后,把通知书内容从新建的临时文挡中复制过来供下一条记录使用。对于每个通知书(对应一条记录),用循环将数据表中的字段名用数组的形式保存,再根据通知书中的书签名与保存的字段名比较,如果存在则用语句 mydoc1.bookmarks(i).select选择的书签名, 用数据表中相应的字段值(rs.fields(字段名))来替代文档中的所选择的书签名。右图为运行宏命令后的一个通知书。
2 源程序清单
‘从数据题中读取数据的宏,在word97(2000)上调试运行
‘开发者:湖南工程学院 陈华光
sub start()
dim i, j, k, m, nrecord , txtnumber as integer
dim aname(1 to 20) as string
set md = dbengine.opendatabase("d:\grade\成绩库.mdb")
set rs = md.openrecordset("学生成绩表", dbopentable)
set mydoc1 = activedocument
txtnumber = mydoc1.characters.count
set range1 = mydoc1.range (start:=0, end:=txtnumber)
range1.copy
mydoc2 = documents.add
selection.paste
set range2 = mydoc2.range(start:=0, end:=txtnumber)
mydoc1.activate
on error resume next
rs.movelast
nrecord = rs.recordcount
on error goto doerror
for k = 1 to 20
aname(k) = rs.fields(k).name
next k
doerror:
for m = 1 to nrecord
if m = 1 then rs.movefirst else rs.movenext
for k = 1 to 5
totalnumber = mydoc1.bookmarks.count '已存在的书签数
for i = totalnumber to 1 step -1
bname = rs.fields(aname(k))
if ucase$(mydoc1.bookmarks(i).name) = ucase$(aname(k)) then
mydoc1.bookmarks(i).select
selection.typetext text:=bname
end if
next i
next k
selection.movedown unit:=wdline, count:=4
if m < nrecord then
mydoc2.activate
range2.copy
mydoc1.activate
selection.paste
end if
next m
documents(mydoc2).close savechanges:=wddonotsavechanges