# web项目开发需要注意的问题---> web项目的起点[重要]
1. web项目的主要定位[业务方向]->明确正在开发的项目的核心功能
2. web项目的技术选型->Django>Tornado>Flask>WebPy
3. web项目的创建和文件结构的构造 * 模块化开发的模块划分 * 数据库是否分库---> web项目中的具体流程[重要]
4. 网页中的数据提交方式[表单|链接|Ajax] * 前端网页中进行数据的初步验证[JS验证(不可靠的,只是为了提升正常用户体验)] * 提交的数据,是否需要加密操作[JS加密|JS插件加密]
5. 数据提交后,在服务器端进行提交数据的验证
6. 路由中的URL请求和对应视图处理函数/类绑定关系
7. 在视图处理函数/类中,进行数据的封装[类的对象]
8. 类的对象持久化到数据库的操作方式[ORM:pymysql|pymongo|sqlalchemy...] * 面向对象的增删改方式:直接调用对应的函数操作:save()/delete()/update() * 通过SQL语句执行增删改操作,拆分对象的数据~insert/update/delete.. * 事务管理[事务的四大特性以及事务的隔离级别]
9. 数据库中的数据记录,查询到程序中的操作[ORM] * 面向对象的查询方式:调用方法获取数据 * 通过SQL语句查询方式,直接查询获取到指定的数据
10. 查询数据设计到的缓存处理[ecache|memcache||数据库缓存|文件缓存]
* 缓存处理时,存在的问题和解决方案
11. 数据类型转换->数据库查询的记录->类的对象[一般自动转换、手工转换]
12. 类的对象数据,传递给前端网页进行展示
* 传递过程中,是否需要加密操作,如果加密操作~前端网页中怎么进行解密操作
* 前端网页中的模板语法[DTL|JINJA|JINJA2]展示数据
* 前端网页中,可以通过DOM操作渲染展示数据
---
> web项目扩展[非常重要]
13. B/S结构的软件开发架构模式
* 耦合架构:前端网页中使用了非HTML代码,这样的代码严重依赖后端的运行环境,如{%if%}{%endif%}
一个完整的流程,[网页->后端->数据库->后端->网页] 绑定的[高耦合的!]
* 分离架构:前端网页和后端项目都属于独立的项目,数据交互通过Ajax直接交互
一个完整的流程:[前端网页] --Ajax-- [后端程序-数据库]
14. 表单操作
* 某些web框架,会封装表单的高级操作,如Django[django.forms.Form/ModelForm]
* 某些web框架,不会对表单进行封装,如tornado\Flask
* 表单的操作,由于要和用户直接进行数据交互,涉及到很多安全问题
* XSS:跨域脚本注入攻击,如~用户通过发表文章,发表了一段包含代码的文章,服务器在
解释文章的过程中,将用户输入的脚本代码执行了,造成了安全漏洞!
* XSRF:跨域请求伪造攻击,如~用户在自己的电脑上,访问了A网站[得到了A网站写入cookie的数据]
此时用户访问B网站~【B网站中存在攻击用户访问A网站的链接】,如果用户在B网站访问了这个链接
就会携带用户在A网站的cookie数据到达A网站执行操作。相当于B网站伪造了A网站的请求[链接]
16. 文件上传:文件上传过程中,文件名也存在攻击漏洞,任何从浏览器发起的请求都是可以伪造的
此时~如果用户伪造了上传的文件和文件名称,如~用户自定义了一个.bashrc文件,然后提交了
一个保存文件的路径../../../root/,如果文件正常上传,就有可能造成系统的.bashrc文件被覆盖
如果这个覆盖的文件中存在创建超级管理员、创建允许远程操作的脚本代码,就会造成远程提权漏洞,你的服务器~宣告沦陷!、
17. 验证码:工具类的操作方式,验证码的实现方式千变万化,但是原理始终保持一致。
都是为了防止用户恶意多次访问出现的操作,尤其是~在表单提交时会出现的一种防范手段!
要了解常规验证码的实现方式[字母数字验证码、运算验证码、位置验证码...]
18. 第三方账号共享:通过已经存在并且比较流行的第三方应用的账号,来快速构建当前项目的账号
* 通过第三方账号提供的接口,直接访问第三方账号的数据,通过该账号的信息,来直接创建当前
项目的账号,并提供给用户直接操作
* 通过第三方账号提供的接口,让用户可以伪登录当前项目,但是需要重新创建一个当前项目的账号
绑定第三方应用的账号[如果用户以后忘记密码,可以通过第三方账号进行恢复等操作]
* 所有可用的第三方账号,肯定是第三方应用提供了可以访问并且需要二次确认的接口
19. 会话跟踪操作
核心通过session和cookie两个独立的对象进行的操作
* 会话跟踪:主要是记录用户操作网站的过程中的重要信息,跟踪用户的信息提供人性化的后续服务达到提升用户体验的目的
* 状态保持:是会话跟踪的基础,主要是保存用户在网站浏览过程中的重要信息!是对HTTP无状态短连接的一种补充!
20. 分布式集群操作
* 分布式[软件]:将应用程序以【分布】在多个进程或者多个线程的【处理方式】进行部署,达到提升功能处理性能的目的
* 集群[硬件]:集合多台服务器共同提供服务的功能,提升功能处理性能,一般情况会设计到负载均衡和集群服务器
* 分布式集群[软件和硬件结合一种部署操作方式]
* 分布式集群:提升处理性能
* 分布式集群:容灾和容错功能
* 问题分析1:数据同步,用户在A主机上执行了登录操作,下次请求被B主机处理了~B主机怎么知道用户A是否登录
* 问题分析2:缓存数据同步
* 解决方案1:负载均衡可以通过ip hash的方式进行处理,每个接入的ip地址~只会被同一台后台服务器处理
* 解决方案2:可以将数据存储在一个保存数据的缓存服务器中,所有的后台服务器缓存数据都在同一台缓存服务器
21. 数据库相关
* 数据库为什么分库?
* 数据库为什么分表?
网友评论