Xây dựng hệ thống website bán hàng qua mạng

xử lý mã hóa dữ liệu trước khi truyền dữ liệu vào CSDL. Những vấn đề về quản lý khóa và quyền truy cập được hỗ trợ bởi ứng dụng. Truy vấn dữ liệu đến CSDL sẽ trả kết quả dữ liệu ở dạng mã hóa và dữ liệu này sẽ được giải mã bởi ứng dụng. Giải pháp này giải quyết được vấn đề phân tách quyền an ninh và hỗ trợ các chính sách an ninh dựa trên vai trò (Role Based Access Control – RBAC). Tuy nhiên, xử lý mã hóa trên tầng ứng dụng đòi hỏi sự thay đổi toàn diện kiến trúc của ứng dụng, thậm chí đòi hỏi ứng dụng phải được viết lại. Đây là một vấn đề đáng kể cho các công ty có nhiều ứng dụng chạy trên nhiều nền CSDL khác nhau. Từ những phân tích hai giải pháp nêu trên, có thể dễ dàng nhận thấy một giải pháp bảo mật CSDL tối ưu cần hỗ trợ các yếu tố chính sau: Hỗ trợ mã hóa tại các mức dữ liệu cấp bảng, cột, hàng. Hỗ trợ chính sách an ninh phân quyền truy cập đến mức dữ liệu cột, hỗ trợ RBAC. Cơ chế mã hóa không ảnh hưởng đến các ứng dụng hiện tại. Có hai mô hình thoả mãn các yêu cầu nói trên , đặc biệt là yêu cầu thứ ba. Đó là mô hình: Xây dựng tầng cơ sở dữ liệu trung gian và Sử dụng cơ chế sẵn có trong cơ sở dữ liệu. 1.3.1. Xây dựng tầng cơ sở dữ liệu trung gian Trong mô hình này, một CSDL trung gian (proxy) được xây dựng giữa ứng dụng và CSDL gốc . CSDL trung gian này có vai trò mã hóa dữ liệu trước khi cập nhật vào CSDL gốc, đồng thời giải mã dữ liệu trước khi cung cấp cho ứng dụng. CSDL trung gian đồng thời cung cấp thêm các chức năng quản lý khóa, xác thực người dùng và cấp phép truy cập. Giải pháp này cho phép tạo thêm nhiều chức năng về bảo mật cho CSDL. Tuy nhiên, mô hình CSDL trung gian đòi hỏi xây dựng một ứng dụng CSDL tái tạo tất cả các chức năng của CSDL gốc. Hiện tại, trên thị trường sản phẩm mã hóa CSDL, Secure.Data của công ty Protegrity (www. Protegrity.com) sử dụng mô hình proxy nêu trên. 1.3.2. Sử dụng cơ chế sẵn có trong CSDL Mô hình này giải quyết các vấn đề mã hóa cột dựa trên các cơ chế sau: Các hàm Stored Procedure trong CSDL cho chức năng mã hoá và giải mã . Sử dụng cơ chế View trong CSDL tạo các bảng ảo, thay thế các bảng thật đã được mã hoá. Cơ chế “instead of ” trigger được sử dụng nhằm tự động hoá quá trình mã hoá từ View đến bảng gốc. Trong mô hình này, dữ liệu trong các bảng gốc sẽ được mã hóa, tên của bảng gốc được thay đổi. Một bảng ảo (View) được tạo ra mang tên của bảng gốc, ứng dụng sẽ truy cập đến bảng ảo này. Truy xuất dữ liệu trong mô hình này có thể được tóm tắt như sau (Sơ đồ 2):Các truy xuất dữ liệu đến bảng gốc sẽ được thay thế bằng truy xuất đến bảng ảo.Bảng ảo được tạo ra để mô phỏng dữ liệu trong bảng gốc. Khi thực thi lệnh “select”, dữ liệu sẽ được giải mã cho bảng ảo từ bảng gốc (đã được mã hóa). Khi thực thi lệnh “Insert, Update”, “instead of” trigger sẽ được thi hành và mã hóa dữ liệu xuống bảng gốc. Quản lý phân quyền truy cập đến các cột sẽ được quản lý ở các bảng ảo. Ngoài các quyền cơ bản do CSDL cung cấp, hai quyền truy cập mới được định nghĩa: Người sử dụng chỉ được quyền đọc dữ liệu ở dạng mã hóa (ciphertext). Quyền này phù hợp với những đối tượng cần quản lý CSDL mà không cần đọc nội dung dữ liệu. Người sử dụng được quyền đọc dữ liệu ở dạng giải mã (plaintext). Giải pháp nêu trên có lợi điểm đơn giản, dễ phát triển. Tuy nhiên, do các giới hạn về cơ chế view, trigger và cách thức quản trị dữ liệu, giải pháp này có những hạn chế sau: Những cột index không thể được mã hóa, do đó hạn chế các ứng dụng cần hỗ trợ index. Dữ liệu mã hóa có kích thước lớn so với dữ liệu gốc. Sự chênh lệch này không đáng kể đối với các dữ liệu chữ (text), nhưng rất đáng kể đối với các dữ liệu số và dạng nhị phân. Ví dụ, dữ liệu số 1 byte sẽ bị tăng lên 2 byte sau khi mã hóa.Tốc độ truy cập CSDL giảm do quá trình thực thi tầng mã hóa. Hiện nay, trên thị trường sản phẩm mã hóa CSDL, DBEncrypt (www.appsecinc.com) và nCypher (www.ncypher.com) phát triển theo mô hình trên. Chương 2. Thương mại điện tử 2.1. Tổng quan về thương mại điện tử 2.1.1. Khái niệm thương mại điện tử Hiện nay có nhiều quan điểm khác nhau về “thương mại điện tử” nhưng tựu trung lại có hai quan điểm lớn trên thế giới đó là Quan điểm theo nghĩa rộng và quan điểm theo nghĩa hẹp. Theo nghĩa rộng thương mại điện tử có thể được hiểu là các giao dịch tài chính và thương mại bằng phương tiện điện tử như: trao đổi dữ liệu điện tử; chuyển tiền điện tử và các hoạt động gửi rút tiền bằng thẻ tín dụng. Ủy ban Châu Âu đưa ra định nghĩa về Thương mại điện tử như sau: Thương mại điện tử được hiểu là việc thực hiện hoạt động kinh doanh qua các phương tiện điện tử. Nó dựa trên việc xử lý và truyền dữ liệu điện tử dưới dạng text, âm thanh và hình ảnh. Thương mại điện tử gồm nhiều hành vi trong đó hoạt động mua bán hàng hóa và dịch vụ qua phương tiện điện tử, giao nhận các nội dung kỹ thuật số trên mạng, chuyển tiền điện tử, mua bán cổ phiếu điện tử, vận đơn điện tử, đấu giá thương mại, hợp tác thiết kế, tài nguyên mạng, mua sắm công cộng, tiếp thị trực tiếp tới người tiêu dùng và các dịch vụ sau bán hàng. Thương mại điện tử được thực hiện đối với cả thương mại hàng hóa (ví dụ như hàng tiêu dùng, các thiết bị y tế chuyên dụng) và thương mại dịch vụ (ví dụ như dịch vụ cung cấp thông tin, dịch vụ pháp lý, tài chính); các hoạt động truyền thống (như chăm sóc sức khỏe, giáo dục ) và các hoạt động mới (ví dụ như siêu thị ảo). Theo nghĩa hẹp: Thương mại điện tử chỉ bao gồm những hoạt động thương mại được thực hiện thông qua mạng Internet mà không tính đến các phương tiện điện tử khác như điện thoại, fax, telex... Theo Tổ chức Thương mại Thế giới: Thương mại điện tử bao gồm việc sản xuất, quảng cáo, bán hàng và phân phối sản phẩm được mua bán và thanh toán trên mạng Internet, nhưng được giao nhận một cách hữu hình cả các sản phẩm được giao nhận cũng như những thông tin số hóa thông qua mạng Internet. Có nhiều cấp độ thực hiện Thương mại điện tử: Ở cấp độ cơ bản, doanh nghiệp có thể mới chỉ có website trưng bày thông tin, hình ảnh, tìm kiếm khách hàng qua mạng, liên hệ với khách hàng qua Email mà thôi.Cấp độ cao hơn thì doanh nghiệp đã có thể thực hiện một số giao dịch trên mạng như cho khách hàng đặt hàng thẳng từ trên mạng, quản lý thông tin khách hàng, đơn hàng bằng cở sở dữ liệu tự động trên mạng, có thể xử lý thanh toán qua mạng bằng thẻ tín dụng… Đối với tình hình Việt Nam hiện nay thì Thương mại điện tử giúp rất nhiều cho việc Marketing và tìm kiếm khách hàng qua mạng, đặc biệt là các Doanh nghiệp sản xuất hàng hóa xuất khẩu. Chúng ta không nên nghĩ rằng phải có thanh toán qua mạng mới là Thương mại điện tử. 2.1.2 Các cơ sở để phát triển thương mại điện tử Để phát triển thương mại điện tử cần phải có các yếu tố cơ sở sau: Hạ tầng kỹ thuật internet phải đủ nhanh, mạnh đảm bảo truyền tải các nội dung âm thanh, hình ảnh trung thực sống động. Hạ tầng pháp lý: phải phải có luật về TMĐT công nhận tính pháp lý của các chứng từ điện tử, các hợp đồng điện tử ký qua mạng; phải có luật bảo vệ quyền sở hữu trí tuệ, sở hữu riêng tư, bảo vệ người tiêu dùng v.v. để điều chỉnh các giao dịch qua mạng. Phải có cơ sở thanh toán điện tử an toàn, bảo mật. Thanh toán điện tử qua thẻ, qua tiền điện tử, thanh toán qua EDI. Các ngân hàng phải triển khai hệ thống thanh toán điện tử rộng khắp Phải có hệ thống cơ sở chuyển phát nhanh chóng, kịp thời và tin cậy Phải có hệ thống an toàn bảo mật cho các giao dịch, chống xâm nhập trái phép, chống virus, chống thoái thác. Phải có nhân lực am hiểu kinh doanh, công nghệ thông tin, thương mại điện tử để triển khai tiếp thị, quảng cáo, xúc tiến, bán hàng và thanh toán qua mạng 2.1.3. Các loại hình giao dịch thương mại điện tử Trong thương mại điện tử có ba chủ thể tham gia là: Doanh nghiệp(B) giữ vai trò là động lực phát triển thương mại điện tử, người tiêu dùng (C) giữ vai trò quyết định sự thành công của thương mại điện tử và chính phủ (G) giữ vai trò định hướng, điều tiết và quản lý. Từ mối quan hệ giữa các chủ thể trên ta có các loại hình giao dịch thương mại điện tử sau: B2B, B2C, B2G, C2G, C2C ... trong đó B2B và B2C ,C2C là ba loại hình giao dịch TMĐT quan trọng nhất. 2.1.3.1. Mô hình B2B (Business - to- Business ) Mô hình B2B (Business to Business) áp dụng trong quá trình buôn bán giữa các tổ chức, giữa các doanh nghiệp. Trong mô hình B2B trên Internet vấn đề quan trọng nhất là trao đổi các thông tin thương mại có cấu trúc và mua bán tự động giữa hai hệ thống khác nhau. Mô hình B2B áp dụng cho hình thức kinh doanh có chứng từ giữa các công ty, các tổ chức, giữa công ty mẹ và các công ty con, giữa các công ty trong cùng hiệp hội… Khi sử dụng mô hình B2B cần phải có kiểm chứng được khách hàng và bảo mật thông tin mua bán thông qua chữ ký điện tử của công ty, tổ chức. 2.1.3.2. Mô hình B2C (Business - to - Customer) Đây là mô hình bán lẻ trực tiếp đến người tiêu dùng. Trong thương mại điện tử bán lẻ điện tử có thể từ nhà sản xuất hoặc từ một cửa hàng thông qua phân phối. Hàng hoá bán lẻ trên mạng thường là máy tính, đồ điện tử, dụng cụ thể thao, đồ dùng văn phòng, sách và âm nhạc, đồ chơi, sức khoẻ và mỹ phẩm, giải trí v.v. Mô hình B2C sử dụng cho hình thức kinh doanh không có chứng từ. Người tiêu dùng vào Web site của công ty, chọn mặt hàng cần mua, cung cấp thông tin cá nhân, chọn hình thức thanh toán điện tử, các hình thức vận chuyển hàng hóa… Khi đó người dùng coi như đã đặt hàng xong, chỉ chờ hàng hóa đến. Tại phần quản lý của công ty sẽ có chương trình xử lý thông tin mua bán tự động, kiểm tra thông tin khách hàng về hình thức thanh toán, cách vận chuyển hàng hóa... 2.1.3.3. Mô hình C2C(Customer - to - customer) Mô hình này bao gồm giao dịch giữa những khách hàng. Ở đây khách hàng thực hiện việc mua bán trực tiếp với khách hàng. Để thực hiện giao dịch này cả người bán và người mua phải đăng ký với nhà cung cấp trên các site thương mại điện tử mà mình muốn thực hiện mua và bán đồng thời người bán phải trả một khoảng phí cố định cho nhà dịch vụ (ở đây là các site thương mại điện tử), người mua không phải trả khoản phí này. 2.1.4. Lợi ích của thương mại điện tử Thương mại điện tử ngày càng đóng vai trò quan trọng trong đời sống xã hội vì đó là những phương thức giao dịch nhanh nhất, hiệu quả nhất, tận dụng được tối đa mọi nguồn lực. Thương mại điện tử là kết hợp của những thành tựu khoa học kỹ thuật vào việc kinh doanh. Đối với khách hàng : Khách hàng được phục vụ 24/24 h và có thể đặt mua hàng mọi lúc mọi nơi có kết nối mạng internet. Họ tiết kiệm được nhiều thời gian cũng như công sức đi lại. Đối với các doanh nghiệp: Nắm bắt được nhiều thông tin phong phú, giúp cho các doanh nghiệp nhờ đó mà có thể đề ra các chiến lược sản xuất kinh doanh thích hợp với xu thế phát triển trong và ngoài nước. Thương mại điện tử tạo ra lợi thế cạnh tranh: kinh doanh trên mạng là môi trường cho sự sáng tạo. Doanh nghiệp dễ dàng thể hiện ý tưởng về dịch vụ hỗ trợ, chiến lược tiếp thị. Khi tất cả các đối thủ cạnh tranh đều áp dụng thương mại điện tử, thì lợi thế thuộc về người sáng tạo. Giảm chi phí sản xuất, chi phí thuê mặt bằng và không phải tốn nhiều nhân viên quản lý, bán hàng…. Vì thương mại điện tử được tiến hành trên mạng nên không bị ảnh hưởng bởi khoảng cách địa lý, do đó nhà cung cấp dù nhỏ hay lớn vẫn được nhiều người biết đến nhờ tính toàn cầu của mạng. Xây dựng quan hệ với các đối tác: Thương mại điện tử tạo điều kiện thuận lợi cho việc thiết lập và củng cố mối quan hệ giữa các bên tham gia thương mại: Thông qua mạng các thành viên tham gia ( Khách hàng, các doanh nghiệp, các tổ chức chính phủ,… ) có thể giao tiếp trực tiếp và liên tục với nhau, có cảm giác như không có khoảng cách về địa lý và thời gian nữa, nhờ đó sự hợp tác và sự quản lý được tiến hành một cách nhanh chóng trên phạm vi toàn quốc, toàn khu vực và toàn thế giới, và có nhiều cơ hội để lựa chọn hơn. Ngoài ra thương mại điện tử còn có một tác dụng rất quan trọng đó là làm giảm ách tắc và tai nạn giao thông. 2.1.5. Những vấn đề gây trở ngại đến thương mại điện tử Trở ngại lớn nhất của thương mại điện tử là phải đối đầu với những gian lận. Tội phạm dễ dàng thâm nhập vào cửa hàng trực tuyến hơn là cửa hàng ngoại tuyến. Có rất nhiều hình thức gian lận trên mạng như một số người thiết lập những trang website giả danh nhà cung cấp dịch vụ để lừa gạt chủ thẻ cung cấp các thông tin về thẻ sau đó làm thẻ giả để rút tiền tại các máy rút tiền tự động. Điều này càng làm cho khách hàng ngại sử dụng các dịch vụ thương mại điện tử. Cùng với những vấn đề về tội phạm gian lận, nhiều doanh nghiệp còn gặp phải những trở ngại về văn hóa và pháp luật trong thương mại điện tử… 2.1.6. Tình hình thương mại điện tử ở Việt Nam 2.1.6.1. Hiện trạng Thương mại điện tử hình thành ở Việt Nam vào những năm cuối cùng của thập kỷ trước và phát triển với tốc độ ngày càng nhanh. Sự hình thành và phát triển này chủ yếu là do nhu cầu thương mại cũng như sự năng động của một số doanh nghiệp. Cũng vào thời điểm này, một số cơ quan nhà nước và các tổ chức kinh tế, đặc biệt là Bộ Thương mại, đã nhận thức được hiệu quả to lớn của thương mại điện tử và xu hướng phát triển mạnh mẽ của loại hình thương mại này nên đã chủ động thành lập các đơn vị nghiên cứu và xây dựng chính sách và pháp luật. Từ năm 2003 thương mại điện tử phát triển nhanh chóng nhưng môi trường chính sách và pháp luật chưa theo kịp thực tế. Hơn thế nữa, cho tới hết năm 2004 chưa có chính sách ở tầm vĩ mô nào về thương mại điện tử được ban hành. Năm 2005 đánh dấu một bước ngoặt quan trọng đối với sự phát triển thương mại điện tử ở nước ta. Một mặt, thương mại điện tử đã trở nên tương đối phổ biến trên tất cả các loại hình giao dịch như G2B, B2B, B2C và C2C, đóng góp nhất định cho phát triển thương mại. Mặt khác, lần đầu tiên thương mại điện tử đã chính thức được pháp luật thừa nhận, đồng thời Thủ tướng Chính phủ đã ban hành Quyết định phê duyệt Kế hoạch tổng thể phát triển Thương mại điện tử giai đoạn 2006 - 2010. Có thể kết luận là cho tới hết năm 2005 thương mại điện tử ở nước ta đã kết thúc giai đoạn đầu tiên là giai đoạn hình thành và được pháp luật thừa nhận chính thức. Với sự chuẩn bị đã chín muồi và nỗ lực to lớn của cả doanh nghiệp và các cơ quan nhà nước, có thể dự đoán từ năm 2006 thương mại điện tử ở Việt Nam sẽ bước sang giai đoạn hai là giai đoạn phát triển mạnh mẽ 2.1.6.2. Khó khăn  Các vấn đề khó khăn chính của thương mại điện tử việt nam : Cơ sở hạ tầng cho thương mại điện tử Việt Nam hầu như chưa được cải thiện: Trong khi hệ thống thanh toán điện tử liên ngân hàng phát triển khá nhanh thì việc thanh toán điện tử giữa người tiêu dùng với người tiêu dùng chưa đáp ứng được nhu cầu kinh doanh ngày càng lớn và đa dạng. Vấn đề an toàn và an ninh trong giao dịch thương mại điện tử năm 2005 tuy có một số tiến bộ so với năm 2004 nhưng vẫn đặt ra nhiều vấn đề lớn cho nghành thương mại điện tử việt nam trong những năm tới. Mặc dù không có những thay đổi đột biến nhưng hạ tầng viễn thông và internet tiếp tục được cải thiện là cơ sở tốt cho việc phát triển thương mại điện tử. Tuy nhiên so với thế giới Việt Nam vẫn đứng ở mức độ thấp về các chỉ số kết nối của nền kinh tế và ở mức độ sẵn sàng cho thương mại điện tử. Cơ cấu phát triển giữa các loại hình thương mại điện tử chưa cân đối : Trên thế giới 90% giá trị của thương mại điện tử là từ mô hình doanh nghiệp với doanh nghiệp (B2B). Loại hình doanh nghiệp với người tiêu dùng và các loại hình khác chỉ chiếm dưới 10%. Mặc dù trong năm 2005 loại hình giao dịch B2B phát triển tăng hơn so với các năm trước song xu hướng phát triển chưa cân đối giữa các loại hình điên tử vẫn không thay đổ. Giao dịch B2B ở Việt Nam hiện nay vẫn chỉ dừng lại ở mức các doanh nghiệp tìm kiếm thông tin thị trường, bạn hàng thông qua thư điện tử và các website thương mại điện tử, các hệ thống mua bán trực tuyến giữa các doanh nghiệp với nhau hầu như chưa có. Thiếu đội ngũ cán bộ có trình độ chuyên môn thương mại điện tử về cả kinh doanh lẫn kỹ thuật. 2.2. Vấn đề thanh toán trong thương mại điện tử Cho dù bạn kinh doanh theo một hình thức nào đi nữa thì việc thanh toán vẫn là mấu chốt. Thực tế đang dùng 3 cách thanh toán bằng tiền mặt, bằng séc và bằng thẻ tín dụng. Các cơ chế tương tự cũng được sử dụng cho kinh doanh trực tuyến. Một cách thanh toán điện tử được gọi là tốt nếu nó thoả mãn các yêu cầu về "tính bảo mật, độ tin cậy, tính quy mô, tính chấp nhận được, tính mềm dẻo, tính chuyển đổi được, tính hiệu quẩ, tính dễ kết hợp với ứng dụng và dễ sử dụng". Một mô hình thanh toán điện tử tốt phi đáp ứng càng cao càng tốt các yêu cầu nêu trên, trong đó tính bảo mật đóng vai trò tối thượng 2.2.1. Thanh toán bằng thẻ tín dụng Thẻ tín dụng đã được xử lý điện tử hàng chục năm nay. Chúng được sử dụng đầu tiên trong nhà hàng và khách sạn, sau đó là cửa hàng bách hóa và việc sử dụng nó đã được chào hàng trên các phương tiện quảng cáo từ hơn 20 năm qua. Sau khi đã chọn hàng, bạn chỉ cần nhập số thẻ tín dụng của bạn, một hệ thống kết nối với ngân hàng sẽ kiểm tra thẻ và thực hiện thanh toán. Hiện ở các nước tư bản phát triển đã có cả một ngành công nghiệp khổng lồ để xử lý các giao dịch bằng thẻ tín dụng trực tuyến với các công ty nổi tiếng như First Data Corp, Total System Corp, National Data Corp... đang chi tiết hóa các giao dịch phía sau mối quan hệ giữa nhà băng, người bán hàng và người sử dụng thẻ tín dụng. Người mua được đảm bảo về việc sẽ nhận được hàng hoá và một số đảm bảo có giới hạn khác chống lại việc bị lừa hoặc mất thẻ. (Bảo hiểm thẻ được bán bởi các nhà băng phát hành thẻ và các rủi ro sẽ được thanh toán). Cửa hàng trên WEB của chúng ta cần phần mềm nào để có thể xử lý thẻ tín dụng? ở mức đơn giản nhất, chúng ta phải có sẵn một số biểu mẫu có khả năng mã hoá bảo mật, thông thường là Sercure Socket Layer (SSL), một tiêu chuẩn đối với cả các trình duyệt của Microsoft và Netscape, và điều đó cũng có nghĩa là máy chủ của bạn phải có một khoá mã hoá. Tiếp theo bạn phải có một chương trình đóng vai trò là một giỏ mua hàng, cho phép người sử dụng thu thập các mặt hàng cần mua, tính giá và thuế sau đó đưa ra một hoá đơn cuối cùng để phê chuẩn. Cuối cùng nếu như bạn không muốn xử lý các tệp giao dịch bằng tay hoặc xử lý một gói các tệp thì bạn phải cần một cơ chế giao dịch điện tử. 2.2.2. Thanh toán bằng Sec Có hai cách để WEB site của bạn có thể nhận séc. Bạn có thể xây dựng các tờ séc ảo hoặc nhận thanh toán từ các thẻ ghi nợ liên kết với các tài khoản séc.Thẻ ghi nợ cũng giống như thẻ tín dụng, chỉ khác là nó không trực tiếp truy nhập tới tài khoản séc của khách hàng. Nó là hậu duệ của thẻ ATM đã phổ biến từ đầu những năm 1980 được sử dụng để rút tiền từ các máy rút tiền của nhà băng và vẫn còn được sử dụng tới nay.Ðiều thay đổi hiện nay các giao dịch của chúng đã được xử lý bình thường qua các mạng thẻ tín dụng của nhà băng. Giờ đây hầu hết các thẻ này đều có biểu tượng của Visa hoặc MasterCard. Ðiều đó có nghĩ là bạn có thể xử lý các giao dịch thẻ ghi nợ hết như là xử lý các giao dịch thẻ tín dụng, nhưng do tiền được chuyển tới trực tiếp từ tài khoản séc của người sử dụng nên chiết khấu sẽ thấp hơn. 2.3. An toàn trong thương mại điện tử An toàn là yêu cầu không thể thiếu được đối với bất kỳ hệ thống thông tin nào và đối với thương mại điện tử thì các vấn đề an toàn bảo mật là rất quan trọng. Từ góc độ người sử dụng: Làm sao biết được web server được sở hữu bởi một doanh nghiệp hợp pháp? Làm sao biết được trang web này không chứa nội dung hay một đoạn mã trương trình nguy hiểm? Làm sao biết được web server không lấy thông tin của mình cung cấp cho một bên thứ ba Từ góc độ doanh nghiệp: Làm sao biết được người sử dụng không có ý định phá hoại hoặc làm thay đổi nội dung của trang web hoặc website? Làm sao biết được họ có làm gián đoạn hoạt động của server? Từ cả hai phía: Làm sao biết được không bị nghe trộm trên mạng? Làm sao biết được thông tin từ máy chủ đến user không bị thay đổi? 2.3.1. Cơ chế mã hoá Để đảm bảo an toàn bảo mật cho các giao dịch, người ta dùng hệ thống khoá mã và kỹ thuật mã hoá cho các giao dịch thương mại điện tử.Mã hoá là quá trình trộn văn bản với khoá mã tạo thành văn bản không đọc được truyền trên mạng. Khi nhận được bản mã, phải dùng khoá mã để giải thành bản rõ. Mã hoá và giải mã gồm 4 thành phần cơ bản: Văn bản rõ – plaintext Văn bản đã mã – Ciphertext 3 Thuật toán mã hoá - Encryption algorithm Khoá mã – Key — là khoá bí mật dùng nó để giải mã thông thường. Mã hoá là tiền đề cho sự thiết lập các vấn đề liên quan đến bảo mật và an ninh trên mạng. Có hai phương pháp mã hoá phổ biến nhất: Mã hoá đối xứng và mã hoá phi đối xứng. 2.3.1.1. Mã hoá đối xứng Mã hoá đối xứng là mã hoá mà bên gửi và bên nhận sử dụng chung một khoá còn được gọi là mã hoá truyền thống, mã hoá khoá riêng … Hệ mật mã đối xứng yêu cầu người gửi và người nhận phải thoả thuận khoá mã trước khi mã hoá và gửi tin tức. Độ an toàn của hệ thống phụ thuộc vào khoá mà không phụ thuộc bí mật của giải thuật, nếu để lộ khoá thì bất kỳ người nào cũng có thể mã hoá và giải mã. Mã hoá đối xứng có các hệ mã hoá điển hình: Hệ mã hoá Caesar, hệ mã hoá đơn bảng, hệ mã hoá Playfair, hệ mã hoá Vigenere…. Ví dụ về mã hoá đối xứng - Hệ mã hoá đơn bảng: Giải thuật: Thay một chữ cái này bằng một chữ cái khác theo trật tự bất kỳ sao cho mỗi chữ cái chỉ có một thay thế duy nhất và ngược lại. Khoá dài 26 chữ cái Ví dụ: Khoá: a b c d e f g h i j k l m n o p q r s t u v w x y z M N B V C X Z A S D F G H J K L P O I U Y T R E W Q Văn bản thô: sap co tan cong Bản mã: IML BK UMJ BKJZ 2.3.1.2. Mã hoá phi đối xứng (Mã hoá công khai) Trong hệ mật mã này sử dụng hai khoá đó là một khoá công khai, ai cũng biết và dùng để mã hoá thông báo nhằm thẩm tra chữ ký. Và một khoá riêng chỉ nơi giữ được biết, dùng để giải mã thông bảo và ký (tạo ra chữ ký) Trong mô hình này thì A sẽ tạo ra một khoá công khai và một khoá bí mật khoá công khai của A sẽ được đưa lên mạng, khi B muốn gửi thông tin cho A thì B sẽ mã hoá văn bản với khoá công khai này rồi gửi cho A. Khi A nhận được bản mã sẽ dùng khoá riêng của mình để giải mã bản mã đó. Mã hoá công khai có các hệ mã hoá: Hệ mã hoá RSA, Hệ trao đổi khoá Diffie-Hellman,….Trong đó hệ mã hoá RSA là hay được dùng để mã hoá trong các giao dịch thương mại điện tử. Ví dụ về hệ mã hoá phi đối xứng - Hệ mã hoá RSA: Tạo khoá RSA: Chọn ngẫu nhiên 2 số nguyên tố đủ lớn p ≠ q đủ lớn Tính n=pq Tính ф(n)=(p-1)(q-1) Chọn ngẫu nhiên khoá mã hoá e sao cho 1<e< ф(n) và gcd(e,ф(n))=1 Tìm khoá giải mã d ≤ n thoả mãn e.d ≡ 1 mod ф(n) Công bố khoá mã hoá công khai KU= {e, n} Giữ bí mật khoá giải mã riêng KR= {d, n} Các giá trị bí mật q , p bị huỷ bỏ. Thực hiện RSA: Để mã hoá một thông báo M, bên gửi thực hiện: lấy khoá công khai của bên nhận KU={e,n} Tính C=Mmod n Để giải mã bản mã hoá C, bên nhận thực hiện: Sử dụng khoá riêng KR=(d, n) Tinh M=Cmod n Lưu ý là thông báo M phải nhỏ hơn n Vi dụ: chọn 2 số nguyên tố p=17 và q=11 Tính n=pq=17×11=187 Tính ф(n)=(p-1)(q-1)= 16×10=160 Chọn e: gcd(e,160)=1 và 1<e<160 lấy e=7 Xác định d: de ≡ 1mod 160 và d<187 giá trị d=23 vì 23×7=161=1×160+1 Công bố khoá công khai KU={7,187} Giữ bí mật khoá riêng KR={23,187} Huỷ bỏ các giá trị bí mật p,q 2.3.1.3. Chứng thực số hoá Chứng thực số để xác nhận rằng người giữ các khoá công cộng và khoá riêng là ai đã đăng ký. Cần có cơ quan trung gian để làm công việc xác thực. Chứng thực có các cấp độ khác nhau. Không phải tất cả các mã khoá riêng hay các chứng chỉ số hoá đều được xây dựng như nhau. Loại đơn giản nhất của giấy chứng chỉ hoá được gọi là chứng nhận Class 1, loại này có thể dễ dàng nhận khi bất kỳ người mua nào truy nhập vào WEB site của VeriSign (www.verisign.com ).Tất cả những cái mà doanh nghiệp phải làm là cung cấp tên, địa chỉ và địa chỉ e-mail, sau khi địa chỉ e-mail được kiểm tra, sẽ nhận được một giấy chứng nhận số hoá. Về mặt nào đó nó cũng giống như một thẻ đọc thư viện. Các chứng nhận Class 2 yêu cầu một sự kiểm chứng về địa chỉ vật lý của doanh nghiệp, Ðể thực hiện điều này các công ty cung cấp chứng nhận sẽ tham khảo cơ sở dữ liệu của Equifax hoặc Experian trong trường hợp đó là một người dùng cuối và Dun&Bradstreet trong trường hợp đó là một doanh nghiệp. Quá trình này giống như là một thẻ tín dụng. Mức cao nhất của một giấy chứng nhận số hoá được gọi là chứng nhận Class 3. Ðể nhận được nó doanh nghiệp phải chứng minh chính xác mình là ai và phải là người chịu trách nhiệm. Các chứng nhận có ảnh của người sở hữu và được in với các công nghệ đặc biệt để tránh bị làm giả. Các giấy chứng nhận Class 3 hiện chưa được chào hàng, tuy nhiên các công ty hoạt động trong lĩnh vực an toàn và bảo mật đã mường tượng ra việc sử dụng nó trong tương lai gần cho các vấn đề quan trong như việc đàm phán thuê bất động sản qua WEB hoặc vay vốn trực tuyến. Nó cũng có thể được sử dụng như là các chứng nhận định danh hợp pháp hỗ trợ việc phân phát các bản ghi tín dụng hoặc chuyển các tài liệu của toà án. Hiện tại các biểu mẫu thu nhận thông tin thanh toán trên WEB thường đạt chứng nhận an toàn và bảo mật Class 1, nhưng hiện tại một số cửa hàng trên WEB cũng đã đạt mức an toàn và bảo mật Class 2 và khách hàng cũng đã bắt đầu nhận được chúng thông qua một công nghệ được gọi là SET. 2.3.2. Một số giao thức bảo mật thông dụng 2.3.3.1. Cơ chế bảo mật SSL (Secure Socket Layer) Về mặt lý thuyết rất nhiều công ty có thể đóng vai trò như một cơ quan chứng thực thẩm quyền. VeriSign Inc (www.verisign.com), là công ty cung cấp dịch vụ về chứng thực số dẫn đầu tại Mỹ. Công ty này sử dụng bản quyền về công nghệ từ RSA Inc. (www.rsa.com). RSA giữ đăng ký sáng chế về công nghệ mã khoá riêng/công cộng được giới thiệu vào năm 1976 củaWhitfield Diffie và Martin Hellman và nó được chuyển giao cho VeriSign vào năm 1995 cho dù các công ty khác cũng giữ quyền sử sử dụng nó. Để bảo mật, doanh nghiệp phải mua một khoá riêng từ VeriSign thu phí 349 USD/ năm cho một WEB site thương mại với một khoá bảo mật như vậy và phí để bảo dưỡng hàng năm là 249 USD, doanh nghiệp có thể mua thêm khoá bảo mật với mức giá tương đương. Sau khi máy chủ nhận được một khoá mã bảo mật, việc tiếp nhận một đơn đặt hàng trở nên đơn giản. "Ðiểm nổi bật của SSL ta có thể ngay lập tức tạo một trang HTML với các biểu mẫu để khách hàng cung cấp thông tin về họ trong lúc giao dịch, và đảm bảo rằng các thông tin này được bảo mật và mã hoá khi được gửi đi trên Internet" . Sau khi các thông tin mà khách hàng nhập vào các biểu mẫu trên trang WEB hiển thị trên trình duyệt của họ đước mã hoá với SSL nó được gửi đi trên Internet một cách an toàn. Trong thực tế khi người sử dụng truy nhập vào các trang WEB được hỗ trợ bởi SSL, họ sẽ thấy một biểu tượng như một chiếc khoá ở thanh công cụ bên dưới chương trình. 2.3.3.2. Cơ chế bảo mật SET (Secure Electronic Transaction) Tiêu chuẩn bảo mật mới nhất trong thương mại điện tử là SET viết tắt của Secure Electronic Transaction-Giao dịch điện tử an toàn, được phát triển bởi một tập đoàn các công ty thẻ tín dụng lớn như Visa, MasterCard và American Express, cũng như các nhà băng, các công ty bán hàng trên mạng và các công ty thương mại khác. SET có liên quan với SSL do nó cũng sử dụng các khoá công cộng và khoá riêng với khoá riêng được giữ bởi một cơ quan chứng nhận thẩm quyền. Không giống như SSL, SET đặt các khoá riêng trong tay của cả người mua và người bán trong một giao dịch. Ðiều đó có nghĩa là một người sử dụng thông thường cần các khoá riêng của họ và cần phải đăng ký các khoá này cũng giống như các máy chủ phải làm. Dưới đây là cách mà hệ thống này làm việc. Khi một giao dịch SET được xác nhận quyền xử dụng, mã khoá riêng của người sử dụng sẽ thực hiện chức năng giống như một chữ ký số, để chứng minh cho người bán về tính xác thực của yêu cầu giao dịch từ phía người mua và các mạng thanh toán công cộng. Do người mua không thể thoát ra khỏi một giao dịch SET, để khiếu nại về việc họ không mua hàng nên các giao dịch SET theo lý thuyết sẽ chạy qua các hệ thống thanh toán giống như ta mua hàng ở thiết bị đầu cuối tại các cửa hàng bách hoá thực. Chương 3. Giới thiệu PHP và MySql 3.1. Giới thiệu php 3.1.1. Php là gì? PHP là chữ viết tắt của “Personal Home Page” do Rasmus Lerdorf tạo ra năm 1994, để theo dõi người dùng truy cập lý lịch trực tuyến của ông. Vì tính hữu dụng, khả năng phát triển, PHP đã bắt đầu được sử dụng trong môi trường chuyên nghiệp và nó đã trở thành “PHP: Hypertext Preprocessor”. Theo website chính thức của PHP ở địa chỉ www.php.net thì php là “một ngôn ngữ kịch bản nhúng trong HTML”. Có nghĩa là php có thể được đặt rải rác trong html, giúp cho việc phát triển các website động được dễ dàng. PHP là một ngôn ngữ kịch bản (scripting language). Khác với ngôn ngữ lập trình, php được thiết kế chỉ để thực hiện một điều gì đó sau khi một sự kiện xảy ra (ví dụ, khi người dùng gửi một biểu mẫu hoặc chuyển tới một URL). PHP là một công nghệ phía máy chủ (server - side) và không phụ thuộc vào trường (cross - platform). Cả hai yếu tố này đều rất quan trọng. Khái niệm công nghệ phía máy chủ nói đến việc mọi thứ trong php đều xảy ra trên máy chủ (ngược với máy khách là máy của người dùng). Tính chất không phụ thuộc vào môi trường cho phép php chạy trên hầu hết các hệ điều hành như Windows, Unix (và nhiều biến thể của nó), Macintosh,…Một điều cũng rất quan trọng là các mã kịch bản php viết trên máy chủ này có thể hoạt động trên các máy chủ khác mà không cần chỉnh sửa hoặc chỉnh sửa rất ít. 3.1.2. Tại sao cần dùng php? PHP được dùng để phát triển web động vì nó tốt, nhanh và dễ dàng nghiên cứu hơn các giải pháp khác. PHP có khả năng thực hiện và tích hợp chặt chẽ với hầu hết các cơ sở dữ liệu có sẵn, tính bền vững, linh động và khả năng phát triển không giới hạn. Tất cả các đặc tính trên đều miễn phí vì php là mã nguồn mở. PHP vừa dễ với người mới sử dụng và vừa có khả năng làm được mọi thứ, đáp ứng yêu cầu của lập trình viên chuyên nghiệp. PHP được sử dụng càng ngày càng nhiều và mới đây đã bắt kịp ASP ( vốn được coi là ngôn ngữ kịch bản phổ biến nhất hiện nay). PHP là môdun thông dụng cho Apache (máy chủ web phổ biến nhất) và nó đã có mặt trên 12 triệu website. 3.1.3. Cách làm việc của php Như đã giới thiệu, PHP là một ngôn ngữ máy chủ, mã lệnh php sẽ tập trung trên máy chủ để phục vụ các trang web theo yêu cầu của người dùng thông qua trình duyệt. Khi người dùng truy cập website viết bằng php, máy chủ đọc mã lệnh php và xử lý chúng theo các hướng dẫn đã mã hoá. Trong ví dụ ở hình bên, mã lệnh php yêu cầu máy chủ gửi một dữ liệu thích hợp (mã lệnh HTML) đến trình duyệt Web. Trình duyệt sẽ xem nó như một trang HTML tiêu chuẩn. Điều này khác với Website html tĩnh ở chỗ: Khi có một yêu cầu , máy chủ chỉ đơn thuần gửi dữ liệu HTML đến trình duyệt Web và không xảy ra một sự biên dịch nào từ phía máy chủ. Đối với người dùng cuối và trên trình duyệt web, các trang home.html và home.php trông cũng tương tự nhau, nhưng thực chất nội dung của trang được tạo ra theo những cách khác nhau. 3.2. Giới thiệu MySQL MySQL là cơ sở dữ liệu phổ biến nhất thế giới, một số người còn cho rằng đây là cơ sở dữ liệu mã nguồn mở tốt nhất. Thật vậy, từ khi phiên bản 4 bổ sung thêm một vài đặc điểm mới thì mysql đã trở thành đối thủ của những người khổng lồ đắt giá như Oracle và SQL Server của Microsoft. Giống như php, Mysql có một khả năng thực thi hoàn hảo, rất linh động, đáng tin cậy, dễ nắm bắt và ít chi phí hoặc miễn phí. MySQL được phát triển và hỗ trợ bởi công ty Mysql AB của Thụy Điển. Nó là hệ thống quản trị cơ sở dữ liệu (DBMS) cho các cơ sở dữ liệu quan hệ (vì vậy, Mysql là một RDBMS). Cơ sở dữ liệu là một tập hợp các dữ liệu có liên quan với nhau, có thể là văn bản, số hoặc các tập tin nhị phân được lưu giữ có tổ chức bởi DBMS. Có nhiều loại cơ sở dữ liệu, từ các tập tin đơn giản đến các tập tin quan hệ và hướng đối tượng. Một cơ sở dữ liệu quan hệ sử dụng nhiều bảng để lưu trữ thông tin trong những phần riêng biệt . Trước năm 1970, cơ sở dữ liệu như một bảng tính lớn, đơn giản và lưu trữ mọi thứ. Các cơ sở dữ liệu đòi hỏi phải tập trung suy nghĩ nhiều hơn trong giai đoạn thiết kế và lập trình, nhưng chúng có độ tin cậy và tính toàn vẹn dữ liệu tốt hơn. Ngoài ra, các cơ sở dữ liệu quan hệ có thể thực hiện việc tìm kiếm và cho phép nhiều người sử dụng cùng một lúc. Với việc kết hợp một cơ sở dữ liệu vào ứng dụng web, nhiều dữ liệu do php sinh ra có thể lấy được từ mysql. Điều này sẽ chuyển nội dung của site từ trạng thái tĩnh (mã hoá cứng) sang trạng thái động và độ linh hoạt chính là chìa khoá cho website động. Mysql là một ứng dụng mã nguồn mở giống như php hoặc giống như một vài biến thể của Unix…Nó được dùng miễn phí hoặc có thể sửa đổi (Có thể tải mã nguồn). Tuy nhiên, có trường hợp phải trả phí bản quyền Mysql, đặc biệt nếu bạn kiếm tiền từ việc buôn bán hoặc kết hợp với sản phẩm Mysql. Phần mền Mysql gồm nhiều phần, trong đó có máy chủ Mysql (mysql để chạy và quản lý các cơ sở dữ liệu), máy khách mysql (mysql cung cấp giao diện với máy chủ), các tiện ích để duy trì và dùng cho các mục đích khác. PHP luôn luôn hỗ trợ tốt cho mysql và điều này càng đúng ở các phiên bản gần đây nhất. MySQL có thể xử lý những cơ sở dữ liệu rất lớn gần 60.000 bảng với hơn 5 tỉ mẩy tin, làm việc với những bảng lớn đến 8 triệu terabytes (từ phiên bản 3.23) trên một số hệ điều hành. Nói chung, nó thường làm việc với các bảng có kích thước 4GB. Chương 4. Phân tích hệ thống bán hàng qua mạng (hệ thống bán điện thoại di động) 4.1. Mục tiêu và yêu cầu 4.1.1. Mục tiêu của hệ thống Website kinh doanh điện thoại trực tuyến là website kinh doanh và giới thiệu sản phẩm điện thoại di động. Thông qua Website cho phép người dùng có thể cập nhất các thông tin mới nhất về điện thoại di động: về giá cả, về chủng loại, và các thông tin bên lề khác được cập nhật hàng ngày. Người dùng có thể đặt hàng trực tuyến thông qua hệ thống đặt hàng của website, sau đó sản phẩm sẽ được giao đến tận tay khách hàng. Nếu khách hàng là khách hàng thường xuyên của website sẽ được hưởng những ưu đãi đặc biệt khi mua hàng: giảm giá, quà tặng … 4.1.2. Yêu cầu của hệ thống Hệ thống phải đáp ứng được các yêu cầu: Trang web phải đảm bảo mọi yêu cầu cần thiết của một trang web kinh doanh qua mạng: về bảo mật, về tốc độ, độ phân giải … Các yêu cầu về giao diện: giao diện website đơn giản, dễ sử dụng, mọi trức năng của website đều có phần giải thích, hướng dẫn sử dụng với khách hàng, việc cập nhật chỉnh sửa dữ liệu phải đơn giản dễ sử dụng. Các mặt hàng được sắp xếp theo thứ tự bảng chữ cái, được phân loại theo hãng sản xuất, có cơ chế phân trang, điều hướng khi liệt kê dữ liệu. Về chức năng: Phải có cơ chế phân quyền người dùng. Có hai loại người dùng là người dùng bình thường và người quản trị. Với người dùng bình thường chỉ cho phép xem các thông tin sản phẩm thực hiện quá trình mua hàng. Với nhà quản trị cho phép ngoài các quyền của người dùng còn có chức năng quản lý nội dung trang Web tức là có quyền cập nhật các thông tin về mặt hàng, các giao diện hiển thị trên trang Web. Quản lý các mặt hàng hiện có, có thể thêm sửa, xóa các mặt hàng đã có. Quản lý các đơn đặt hàng qua mạng. Khách hàng có thể tìm kiếm các mặt hàng theo yêu cầu và các thông tin chi tiết. Đối với khách hàng: có thể xem các mặt hàng mà cửa hàng giới thiệu, chọn các mặt hàng và bỏ vào giỏ hàng. Tại thời điểm bất kỳ có thể xem giỏ hàng của mình. Cho phép đặt hàng và gửi đơn đặt hàng tới của hàng thông qua trang Web. Người mua hàng muốn mua hàng bắt buộc phải có acount và phải đăng nhập vào hệ thống Mọi thông tin của khách hàng đăng ký đặt hàng sẽ được nhân viên của công ty kiểm tra lại 4.2. Phân tích chức năng 4.2.1. Sơ đồ ngữ cảnh của hệ thống 4.2.2. Biểu đồ phân rã chức năng. 4.2.3. Mô tả chi tiết các chức năng 4.2.3.1. Chức năng phục vụ khách hàng Đây là chức năng chính, cần thiết nhất cho hệ thống, nó quyết định sự thành bại của hệ thống bán hàng. Chức năng này được thực hiện từ phía khách hàng, gồm các chức năng sau: Chức năng xem sản phẩm : Mọi khách hàng đều thực hiện được chức năng này, khi vào trang web khách hàng có thể xem chi tiết các sản phẩm, giá cả,… Các sản phẩm được sắp xếp theo hãng sản xuất, giúp khách hàng có thể dễ dàng tìm thấy loại sản phẩm mình cần. Tại mỗi trang chi tiết của sản phẩm khách hàng có thể chọn số lượng mình muốn mua rồi kích nút mua để đưa sản phẩm đó vào giỏ hàng (nếu khách hàng đã đăng nhập, khách hàng bắt buộc phải đăng nhập mới có thể chọn được chức năng này). Khách hàng có thể xem sản phẩm mình đã chọn trong giỏ hàng và có thể thay đổi số lượng đã chọn hoặc loại sản phẩm đó ra khỏi giỏ hàng. Chức năng tìm kiếm sản phẩm : giúp người dùng có thể tìm kiếm các mặt hàng hiện có theo tên hay theo loại sản phẩm, theo giá tiền …, các sản phẩm tìm thấy được phân theo trang và người dùng có thể chọn số trang để xem đồng thời cũng hiện lên số trang và tổng số sản phẩm tìm thấy đề người dùng tiện theo dõi.Các sản phẩm đều được link đến trang ghi thông tin chi tiết các mặt hàng, và người dùng có thể nhấp chuột vào liên kết với tên sản phẩm. Chức năng xem tin tức :Khách hàng có thể xem các tin tức mới về công ty, thị trường điện thoại, thông tinh khuyến mại,….Các tin tức mới sẽ được cập nhật thường xuyên bởi người quản trị. Chức năng đăng ký, đăng nhập : Để có thể mua hàng tại trang web, khách hàng phải đăng ký một user name, điền các thông tin cần thiết của bản thân để cửa hàng có thể liên lạc cũng như giao sản phẩm cho khách hàng. Khách hàng phải đăng nhập mới có thể đặt hàng. Sau khi đăng nhập khách hàng cũng có thể thay đổi các thông tin cá nhân của mình như mật khẩu, địa chỉ, ….Và có thể xem các sản phẩm mình đã mua trước đây theo hoá đơn, hoặc theo ngày mua… Chức năng cho hàng vào giỏ : Sau khi đăng nhập khách hàng mới có thể thực hiện chức năng cho hàng vào giỏ này. Chức năng xem, sửa đơn hàng : Khách hàng có thể kích vào link ‘Giỏ hàng’ để xem các mặt hàng mình đã chọn và có thể sửa số lượng mặt hàng muốn mua hoặc loại sản phẩm đó ra khỏi giỏ hàng. Sau khi khách hàng đã xem lại các mặt hàng đã chọn nếu muốn mua khách hàng sẽ kích vào link ‘đặt hàng’ để đặt hàng với cửa hàng. Khách hàng có thể chọn hình thức thanh toán cũng như hình thức đặt hàng. Chức năng góp ý, đề nghị : Ý kiến đóng góp của khách hàng sẽ được gửi về công ty và các ý kiến thắc mắc này sẽ được trả lời bằng email đến khách hàng. 4.2.3.2. Chức năng Quản trị hệ thống Chức năng quản trị hệ thống này chỉ có ban quản trị mới có thể truy cập được, khi người dùng đăng nhập với tài khoản admin thì trên trang web sẽ hiển thị thêm link quản lý. Và admin sẽ có quyền quản lý các chức năng sau : Quản lý sản phẩm : Cho phép thêm các sản phẩm mới, loại sản phẩm mới, sửa hoặc xoá các sản phẩm, loại sản phẩm đã có. Trong phần thêm loại sản phẩm chỉ cần nhập tên loại sản phẩm và cập nhật vào cơ sở dữ liệu, phần xửa và xóa các loại sản phẩm sẽ hiện danh sách các lọai sản phẩm và người dùng có thể chọn để sửa hay xóa. Phần thêm sản phẩm mới là một form cho phép nhập thông tin về sản phẩm, trong phần này có đoạn mã JaVa script để kiểm tra các thông tin nhập vào và có thể gõ tiếng Việt, sau khi nhập các thông tin về mặt hàng được lưu vào cơ sở dữ liệu. Trong phần sửa các thông tin về sản phẩm hoặc xóa sản phẩm, trang này liệt kê các sản phẩm trong gian hàng, trong một table, tương ứng có các hộp checkbox và radio box, người dùng nhấp chuột vào check box để xóa dữ liệu hàng loạt hoặc sửa các thông tin về sản phẩm khi nhấp vào hộp radiobox tương ứng với sản phẩm đó. Phần quản lý các user: danh sách đăng ký các khách hàng thường xuyên và các thông tin đặt hàng của các khách hàng đó. Cho phép quản lý các thông tin đến người dùng. Cho phép người quản trị có thể cấp mới và thay đổi thông tin về người dùng nhân viên Phân quyền làm 3 loại người dùng: Admin, NhânViên, KháchHàng Admin: là người dùng có quyền cao nhất, chỉ có một tài khoản Admin, bao hàm quyền của tất cả các loại người người dùng khác.Cụ thể là thêm, thay đổi thông tin, active người dùng NhânViên NhânViên: Được phép thực hiện các chức năng liên quan đến cập nhật sản phẩm…Và người dùng nhân viên chỉ được phép thay đổi thêm các thông tin liên quan đến chính bản thân người dùng đó. Khách hàng: Có quyền mua chọn hàng. Và người dùng khách hàng chỉ được phép thay đổi thêm các thông tin liên quan đến chính bản thân người dùng đó. Phần quản lý đơn đặt hàng : Cho phép người dùng xem danh sách các đơn đặt hàng, và chi tiết các đơn đó. Có thể xóa các đơn đặt hàng đó hoặc gửi email đến địa chỉ mail của người đặt hàng. Quản lý Quảng cáo, khuyến mại : Người quản trị có thể thêm, sửa hoặc xoá các thông tin quảng cáo, hiển thị các thông tin khuyến mại, thêm thông tin khuyến mại mới và loại bỏ các thông tin cũ. Phần quản lý tin tức: có thể thêm tin tức mới hoặc sửa các thông tin về tin tức, hiện danh sách các tin tức đã đưa chọn vào cập nhật. Sau khi cập nhật, tin mới nhất sẽ được in lên trang chủ, còn các tin cũ sẽ được liệt kê bên dưới, muốn xem tin nào có thể nhấp chuột vào tin đó. Các tin tức và thông tin tư vấn có thể liên kết trực tiếp tới một số sản phẩm liên quan để người dùng lựa chọn. Thống kê kinh doanh : Thống kê các mặt hàng tiêu thụ nhiều, các mặt hàng tồn kho, các hoá đơn đặt hàng, …. Quản lý cấu hình, giao diện : Người quản trị có thể thay đổi cấu hình giao diện của trang web… 4.2.4. Sơ đồ luồng dữ liệu cho chức năng phục vụ khách hàng. 4.3. Mô hình dữ liệu khái niệm (E-R) 4.3.1. Xác định các thực thể Từ yêu cầu và chức năng bài toán đưa ra ta xác định được các thực thể sau: SẢN PHẨM Có các thuộc tính là : số định danh ID, tên sản phẩm, giá bán, thời gian bảo hành, …. KHÁCH HÀNG Có các thuộc tính là : mã khách hàng, tên khách hàng, mật khẩu, địa chỉ email, địa chỉ liên lạc, điện thoại,…. LOẠI SẢN PHẨM (CATEGORY) Có các thuộc tính là : mã chủng loại và tên chủng loại. GIỎ HÀNG Có các thuộc tính : mã giỏ hàng, mã người dùng, mã sản phẩm,…. ĐƠN HÀNG Có các thuộc tính : mã đơn hàng, mã người dùng, hình thức vận chuyển hàng, cách thanh toán,… KHUYẾN MẠI Có các thuộc tính : mã khuyến mại, tên đợt khuyến mại, kiểu giảm giá, loại hàng được giảm giá, giá trị giảm,…. NHÓM NGƯỜI DÙNG  có các thuộc tính : mã nhóm, tên nhóm QUYỀN có các thuộc tính : mã quyền , mô tả quyền 4.3.2. Mối quan hệ giữa các thực thể SẢN PHẨM thuộc CHỦNG LOẠI: Mối quan hệ một - nhiều, một sản phẩm chỉ thuộc một chủng loại nào đấy còn một chủng loại có nhiều sản phẩm khác nhau, KHÁCH HÀNG có GIỎ HÀNG: Mối quan hệ một - một, mỗi một khách hàng chỉ có một giỏ hàng và ngược lại mỗi giỏ hàng chỉ thuộcvề một khách hàng. ĐƠN HÀNG của KHÁCH HÀNG: Mối quan hệ một - nhiều, một khách hàng có thể có nhiều đơn hàng, nhưng một đơn hàng chỉ thuộc về một khách hang mà thôi, GIỎ HÀNG có SẢN PHẨM: Mối quan hệ nhiều - nhiều, một giỏ hàng có thể có nhiều sản phẩm và một sản phẩm có thể thuộc nhiều giỏ hàng khác nhau. ĐƠN HÀNG có SẢN PHẨM: Mối quan hệ nhiều - nhiều, một đơn hàng có thể có nhiều sản phẩm và một sản phẩm có thể thuộc nhiều đơn hàng. KHUYẾN MẠI cho KHÁCH HÀNG: Quan hệ nhiều nhiều, một khách có thể được hưởng nhiều khuyến mại và một khuyến mại có thể khuyến mại cho nhiều khách hàng. KHUYẾN MẠI với SẢN PHẨM: Quan hệ nhiều nhiều, một sản phẩm có thể được áp dụng nhiều chương trình khuyến mại và một chương trình khuyến mại có thể áp dụng cho nhiều sản phẩm KHÁCH HÀNG thuộc NHÓM NGƯỜI DÙNG: Quan hệ một nhiều, một khách hàng chỉ thuộc một nhóm người dùng nhưng một nhóm người dùng có thể có nhiều khách hàng. NHÓM NGƯỜI DÙNG có QUYỀN: Quan hệ nhiều - nhiều, một nhóm người dùng có thể có nhiều quyền và mỗi quyền có thể được phân cho nhiều nhóm người dùng. 4.3.3. Mô hình E – R 4.4. Thiết kế hệ thống 4.4.1. Thiết kế chi tiết các bảng 4.4.1.1. Các bảng chính của hệ thống : Bảng chủng loại của sản phẩm (hãng sản xuất): tbl_ category TT Tên gọi Kiểu Độ dài Chú thích Not null 1 id int,auto_increment 11 Mã loại, khoá chính x 2 desc Varchar 50 Miêu tả loại sản phẩm x Bảng sản phẩm: tbl_product TT Tên gọi Kiểu Độ dài Chú thích Not null 1 id Int,auto_increment 11 Mã sản phẩm, khoá chính x 2 name varchar 100 Tên sản phẩm x 3 category_id int 11 Mã loại sản phẩm x 4 price double 11 Giá sản phẩm x 5 size varchar 50 Kích thước của SP 6 weight varchar 10 Đơn vị tính 7 amount int 10 Số lượng x 8 imageSource varchar 100 Đường đẫn đến ảnh 9 warranty Int 11 thời gian bảo hành 10 spareParts Varchar 50 Các phụ kiện đi kèm 11 description text Miêu tả sản phẩm Bảng khách hàng (người dùng): tbl_user TT Tên gọi Kiểu Độ dài Chú thích Not null 1 id Int,auto_increment 11 Mã user, khoá chính x 2 user_name varchar 40 Tên đăng nhập của người dùng x 3 password varchar 100 Mật khẩu, được mã hóa theo md5 x 4 email varchar 100 Email người dùng x 5 full_name Varchar 100 Tên thật của người dùng 6 sex Int 2 Giới tính 7 address Varchar 100 Địa chỉ x 8 telephone Varchar 12 Số điện thoại 9 session Varchar 70 Lưu session khi mới đăng nhập 10 isActive Tinyint, default 0 1 Trường xác định người dùng đã được kích hoạt chưa. 0 là chưa, 1 là rồi Bảng giỏ hàng :tbl_cart: TT Tên gọi Kiểu Độ dài Chú thích Not null 1 id Int,auto_increment 11 Mã giỏ hàng, khoá chính x 2 session_id int 11 Khóa chính của bảng session, xác định phiên làm việc cúa một người dùng x 3 product_id int 11 Mã sản phẩm x 4 user_name Varchar 40 Tên đăng nhập x 5 amount Int 11 Số lượng x Bảng đơn hàng : tbl_order TT Tên gọi Kiểu Độ dài Chú thích Not null 1 id Int,auto_increment 11 Mã đơn hàng, khoá chính x 2 user_name varchar 40 Tên đăng nhập x 3 product_id int 11 Mã sản phẩm x 4 payment varchar 50 Hình thức thanh toán x 5 transport varchar 50 Hình thức vận chuyển x 6 time_buy Int 11 Thời gian đặt hàng 7 amount int 11 Số lượng x Bảng Khuyến mại : tbl_promote TT Tên gọi Kiểu Độ dài Chú thích Not null 1 id Int,auto_increment 11 Mã khuyến mại,khoá chính x 2 promo_name varchar 50 Tên đợt khuyến mãi x 3 promo_type varchar 50 kiểu khuyến mãi(giảm giá, tặng phẩm,…) 4 value int 10 Giá trị giảm (%) 5 start_time date 11 Ngày bắt đầu 6 end_time date 11 Ngày kết thúc Bảng Khuyến mại với sản phẩm :tbl_promo_product TT Tên gọi Kiểu Độ dài Chú thích Not null 1 id int,auto_increment 11 Mã định danh,khoá chính x 2 promo_id Int 11 Mã khuyến mại x 3 product_id Int 11 Mã sản phẩm x Bảng Khuyến mại với khách hàng : tbl_promo_user TT Tên gọi Kiểu Độ dài Chú thích Not null 1 id int,auto_increment 11 Mã định danh,khoá chính x 2 promo_id Int 11 Mã khuyến mại x 3 user_id Int 11 Mã đăng nhập x Bảng nhóm người dùng : tbl_group TT Tên gọi Kiểu Độ dài Chú thích Not null 1 id int,auto_increment 11 Mã nhóm, khoá chính x 2 name varchar 20 Tên nhóm x Bảng nhóm quyền : tbl_right TT Tên gọi Kiểu Độ dài Chú thích Not null 1 id int,auto_increment 11 Mã quyền, khoá chính x 2 code varchar 20 nội dung quyền x Bảng phân quyền : tbl_group_right TT Tên gọi Kiểu Độ dài Chú thích Not null 1 id int,auto_increment 11 Mã định danh,khoá chính x 2 group_id Int 11 Mã nhóm x 3 right_id Int 11 Mã quyền x Bảng phân quyền : tbl_ user_group TT Tên gọi Kiểu Độ dài Chú thích Not null 1 id int,auto_increment 11 Mã định danh,khoá chính x 2 user_id Int 11 Mã người dùng x 3 group_id Int 11 Mã nhóm x Bảng lưu session : tbl_session TT Tên gọi Kiểu Độ dài Chú thích Not null 1 id int,auto_increment 11 Mã định danh,khoá chính x 2 user_id Int 11 Mã người dùng 3 session_value Int 11 Giá trị của session 4 start_time datetime Thời điểm session bắt đầu kích hoạt 5 finish_time datetime Thời điểm session hết kích hoạt 4.4.1.2. Các bảng khác của hệ thống : Bảng lưu tin tức : tbl_new TT Tên gọi Kiểu Độ dài Chú thích Not null 1 id int,auto_increment 11 Mã tin tức, khoá chính x 2 subject text Tiêu đề x 3 header text Tóm tắt nội dung 4 content text Nội dung của tin x 5 image varchar 50 tên file ảnh minh hoạ 6 date_post date ngày cập nhật x 7 source varchar 100 nguồn cung cấp Bảng quảng cáo : tblAdvertise TT Tên gọi Kiểu Độ dài Chú thích Not null 1 id Int,auto_increment Khóa chính của bảng x 2 imageSource varchar 100 Đường dẫn tới ảnh hiển thị x 3 linkWord varchar 100 Dòng chữ liên kết 4 linkURL varchar 100 Địa chỉ liên kết x 5 startDate date Thời gian bắt đầu đưa lên 6 endDate date Thời gian kết thúc quảng cáo 4.4.2. Lược đồ quan hệ giữa các bảng Hình 4.5. Lược đồ quan hệ giữa các bảng 4.4.3. Một số giao diện chính Trang chủ của website Hình 4.6. Trang chủ của website Giao diên giỏ hàng của khách : Hình 4.7. Giao diện giỏ hàng của khách Giao diện tìm kiếm sản phẩm : Hình 4.8. Giao diện tìm kiếm sản phẩm Giao diện thông tin chi tiết sản phẩm Kết luận Qua quá trình tìm hiểu và xây dựng hệ thống bán hàng qua mạng, đề tài đã đạt được một số kết quả đó là : Tìm hiểu một cách tổng quan về cơ sở dữ liệu, thương mại điện tử Tìm hiểu, lắm bắt được công cụ lập trình trên web là php cũng như cách thiết kết một trang web phục vụ cho thương mại điện tử Xây dựng được hệ thống bán hàng qua mạng thể hiện được những yêu cầu của site thương mại điện tử như : Người mua hàng có thể lựa chọn hàng, thay đổi theo sở thích. Tuy nhiên hệ thống bán hàng này còn có một số mặt hạn chế như : Chưa áp dụng được hệ thống thanh toán điện tử mức cao, mới chỉ dừng lại ở việc thanh toán khi giao hàng, hoặc chuyển khoản qua ngân hàng, thẻ ATM, hoặc chuyển tiền qua bưu điện. Chưa xây dựng được forum để khách hàng trao đổi qua mạng Chưa xây dựng được cơ chế bảo mật Do đó hướng phát triển tiếp theo của khoá luận là tìm cách giải quyết những hạn chế đã nêu trên. TÀI LIỆU THAM KHẢO [1] Nguyễn Trường Sinh. Sử dụng php và mysql thiết kế web động. Nxb thống kê [2] Nguyễn Đại Thọ. Giáo trình an toàn mạng [3] Nguyễn Văn Vị. Giáo trình phân tích thiết kế hệ thống thông tin. Nxb Nông nghiệp [4] Báo cáo tình hình thương mại điện tử 2005 của bộ thương mại.