12306网站问题吵得沸沸扬扬,有多篇文章讨论。12306网站的问题集中在2点: 登陆不上和安全性。
安全性在不停地打补丁,可能会渐渐好些,具体问题除了SQL注入,其它也不清楚。SQL注入用输入检查就可以做了。还可以加上多重防范,象SQLServer数据库就支持带参数的SQl,参数里可以有任意字符等等。
登陆不上。如果硬件确实不够,需要加硬件。需要防范恶意使用者。
用户登陆首先接触的是DNS服务器,各个宽带服务商有不同的DNS。由于有恶意使用者,可能需要的登陆服务器,多个。业务范围为:进行用户登陆和不需用户登陆的操作,多个服务器可以容错,例如:一个服务器对应一个或N个DNS服务器。
用户一防问登陆服务器即记录IP和相关信息,为黑名单作准备。同一IP限制打开窗口数量。出现无IP或IP攻击,和宽带服务商协同解决。黑名单数据服务器需要单独设立,甚至多个。黑名单分布式数据服务器可以考虑和登陆服务器相同。除了用户注册的真实外,登陆时加入验证码校验(图片校验码和身份信息校验(年龄,地址,有效期等))。
登陆成功后,转入用户服务器,转入时带加密的动态登陆参数。用户服务器依靠同一逻辑的算法保证真实性。用户服务器的每一界面都带动态登陆参数。动态登陆参数有时效性。用户服务器依靠动态登陆参数和防网络攻击后,进入了用户模式。
用户模式的数据库和登陆服务器的数据库需分开,来保证用户的利益。用户模式和登陆模式虽然都有查询功能,但是登陆模式的更加粗和滞后。登陆模式界面上就提示它的滞后性。针对春运期间,票少而需求多的情况下,不仅可以考虑车票分期投入的制度,还可以考虑概率抽取法。
概率抽取法的算法例如:用户每10分钟抽取一次车票,第一次为总可用票数/预计买票数/预期用户几次成功, 以后概率减少如30%。算法的一些参数需要历史数据的积累,可增加人工调整环节,来应对非经验状况。预期用户几次成功的值为1为好,如果概率大于1则全额供票。概率抽取法的算法比较重要,需要慎重考虑,并根据历史记录用户行为进行优化。 概率抽取法的概率和分期投入的政策紧密相关,应交予用户可见,用户发现概率过低,好考虑其方案。
用户模式也需要考虑黑名单。
用户模式的web服务器和数据库服务器必要时可以多个。
总数据服务器,存放最新信息。设置后台服务器,后台服务器将延时分布的信息,从总服务器分布到用户数据服务器上,再分布到登陆服务器上;分期自动投入的车票,也由它进行。后台服务器注意多线程防堵塞。
总体来讲,服务器包括web服务器,逻辑服务器,数据服务器,包括登陆模式服务器,用户模式服务器和总控服务器。
----------
即兴之文,并不完备。象查询分析服务器可以单列。