T03：A、C
   T04：A、D
   T05：A、E
   T06：A、B、C
   T07：A、B、D
   T08：A、B、E

[解析] 本题考查黑盒测试中场景法的应用。
   [问题1]
   根据题目中题干确定的基本流和备选流，可以设计场景，每个场景覆盖一种在该案例中事件的不同触发顺序与处理结果形成的事件流，最后得出所有的测试用例。下面是所有的测试用例以及用例中所涉及的基本流与备选流。
   T01：A
   T02：A、B
   T03：A、C
   T04: A、D
   T05：A、E
   T06：A、B、C
   T07：A、B、D
   T08：A、B、E

[解析] 根据问题1中设计的所有测试用例，测试人员需要设计具体的场景分析，其中应包括场景变化中系统所关心的状态信息的变化，以及测试结束后预期的结果。这样，在测试人员进行实际测试后，可以用实际输出结果与预期结果进行比较，来评价测试的结果。
   问题2中给出了系统所关心的状态，包括：次读取车辆信息、最终读取车辆信息、账户号码、账户余额和账户状态等，因此对应的测试用例表如下所示。

测试 用例	初次读取 车辆信息	最终读取 车辆信息	账户 号码	账户 余额	账户 状态	预期结果
T01	V	n/a	V	V	V	扣除通行费，车辆顺利通过，用例结束
T02	I	I	n/a	n/a	n/a	连续5次读取失败，显示警告信息，用例 结束
T03	V	n/a	I	n/a	n/a	账户不存在，提示警告信息，用例结束
T04	V	n/a	V	I	n/a	账户余额不足，提示警告信息，用例结束
T05	V	n/a	V	V	I	账户状态异常，提示警告信息，用例结束
T06	I	V	I	n/a	n/a	多次读取车辆信息，最终成功；账户不存 在，提示警告信息，用例结束
T07	I	V	V	I	n/a	多次读取车辆信息，最终成功；账户余额 不足，提示警告信息，用例结束
T08	I	V	V	V	I	多次读取车辆信息，最终成功；账户状态 异常，提示警告信息，用例结束

[解析] 本题考查白盒测试法的应用。
   本问题考查白盒测试用例设计方法中的判定覆盖法。
   判定覆盖指设计足够的测试用例，使得被测程序中每个判定表达式至少获得一次“真”值和“假”值，从而使程序的每一个分支至少都通过一次。本题中程序有4个判定，所以满足判定覆盖一共需要8个逻辑条件，如下表所示。

编号	条 件	编号	条 件
1	*p='r'	5	*p='f'
2	*p!='r'	6	(*p＜'0'||*p＞'9')&&*p!='f'
3	*p＞='0'&&*p＜='9'	7	m != fmode+sizeof(fmode)
4	*p＜'0'||*p＞'9'	8	m == fmode+sizeof(fmode)

控制流图
   
   环路复杂度V(G)=6

[解析] 本问题考查白盒测试用例设计方法中的基本路径法。涉及到的知识点包括：根据代码绘制控制流图、计算环路复杂度。
   控制流图是描述程序控制流的一种图示方法。其基本符号有圆圈和箭线：圆圈为控制流图中的一个结点，表示一个或多个无分支的语句；带箭头的线段称为边或连接，表示控制流。基本结构如下所示：
   
   根据题中程序绘制的控制流图如下所示。其中要特别注意的是，如果判断中的条件表达式是复合条件，即条件表达式是由一个或多个逻辑运算符连接的逻辑表达式，则需要改变复合条件的判断为一系列之单个条件的嵌套的判断。本题程序中，if(*p＞='0'&&*p＜='9')这条判断语句中的判定由两个条件组成，因此在画控制流图的时候需要拆开成两条判断语句。
   
   环路复杂度用来衡量一个程序模块所包含的判定结构的复杂程度，数量上表现为独立路径的条数，即合理地预防错误所需测试的最少路径条数。环路复杂度等于图中判定结点的个数加1，图中判定结点个数为5，所以V(G)=6。

构造一个6个字符构成的字符串(设为x，y，z，u，v，w 6个字符)，使得每个字符覆盖一条基本路径。其中，x='r'，y='f'，z∈['0'-'9']，u＜'0'，v＞'9'并且v!='f'，w任意，这6个字符可任意排列。例如，mode="rOf aa"。

[解析] 本问题考查白盒测试用例设计方法中的基本路径法。涉及到的知识点包括：根据控制流图和环路复杂度设计测试用例。注意环路复杂度只是测试用例数的上限。
   本题中程序的环路复杂度为6，因此测试用例上限为6，但本题程序比较特殊，只需要一个测试用例即可实现。例如，构造一个6个字符构成的字符串(设为x，y，z，u，v，w6个字符)，使得每个字符覆盖一条基本路径即可。其中，X='r'，y='f'，z∈['0'-'9']，u＜'0'，v＞'9'并且v!='f'，w任意，这6个字符可任意排列。

[解析] 本问题考查入侵方法和安全防护体系层次。
   通过入侵进而篡改页面的方法从大的方面来说可以分为三类，即通过操作系统、网络服务、数据库等漏洞获得主机控制权、通过猜测或者破解密码获得管理员密码和通过Web漏洞和设计缺陷进行攻击入侵。而安全防护体系层次分为7层，分别是实体安全、平台安全、数据安全、通信安全、应用安全、运行安全以及管理安全。通过操作系统、网络服务、数据库等漏洞获得主机控制权威胁的是平台、操作系统和基本应用平台的安全，因此对应于平台安全；通过猜测或者破解密码获得管理员密码威胁的是系统数据的机密性和访问控制，因此对应于数据安全；而通过Web漏洞和设计缺陷进行攻击入侵威胁的是业务逻辑或者业务资源的安全，因此对应于应用安全。

1)给服务器打上最新的安全补丁程序
   2)封闭未用但开放的网络服务端口
   3)合理设计网站程序并编写安全代码
   4)设置复杂的管理员密码
   5)设置合适的网站权限
   6)安装专业的网站防火墙和入侵检测系统

[解析] 本问题考查防篡改的技术防范措施。
   对于通过操作系统、网络服务、数据库等漏洞获得主机控制权这一类篡改途径，需要的防范措施是给服务器打安全补丁、关闭不需要的网络服务端口以及设置防火墙：对于通过猜测或者破解密码获得管理员密码这一类篡改途径，需要的是设置足够复杂的管理员密码并定期进行更换；而对于通过Web漏洞和设计缺陷进行攻击入侵，则需要对网站程序进行合理的设计与实现，考虑到可能的安全威胁，另外需要设置合适的网站访问权限。

7)自动监控
   8)自动备份和恢复
   9)自动报警
   10)区分合法更新与非法篡改

[解析] 本问题考查网页防篡改系统的基本功能。
   对一个专业的网页防篡改系统来说，首先必须能对所有页面进行自动监控，一旦发现非法篡改后能自己报警，并找到一个最新的备份自动回复，此外，这个系统也必须能够区分出某一次的更新是属于合法的更新还是非法的篡改。

招聘系统的链接测试主要测试如下3个方面：
   1)每个链接是否能够链接到目标页面
   2)被链接的页面是否存在
   3)是否存在孤立页面

[解析] 本题考查Web应用测试相关内容。Web应用测试既要关注类似传统软件系统测试的多个方面，如性能测试、压力测试等，还需要测试链接、浏览器、安全等多个方面。
   本问题考查链接测试的主要内容。链接测试是Web应用功能测试的重要内容，测试时需要测试所有页面的外向链接、内部链接、页面中链接跳转、发送Email等功能性链接、是否存在孤立页面、链接的目标是否存在等等。链接测试主要测试如下3个方面：
   1)每个链接是否能够链接到目标页面；
   2)被链接的页面是否存在；
   3)是否存在孤立页面，即无法通过应用主要入口页面链接到，而只有通过特定URL才能访问到的页面。

招聘系统的兼容性测试：
   1)平台兼容性和浏览器兼容性。
   2)兼容性测试矩阵示例如下：
   

[解析] 本问题考查Web应用兼容性测试的内容。Web应用的兼容性是Web应用可用的重要方面，Web应用具有支持多渠道访问的特性，设备、平台、浏览器等的开发商不同、版本不同，会影响Web应用的可用性、可访问性甚至功能性等诸多方面。因此，兼容性测试是Web应用测试的重要方面。
   Web应用兼容测试是测试Web应用在各种硬件、软件、操作系统、网络等不同的环境下，发现程序运行时出现的错误。常见的Web应用兼容性测试有平台的兼容性测试、浏览器兼容性测试、分辨率测试、连接速度测试、打印机测试、数据库兼容性测试和应用软件之间的兼容性测试。
   本系统用户可以通过PC和移动设备的不同操作系统和浏览器进行访问，涉及到PC和移动设备使用多种操作系统，如Windows的多种版本、Linux、Unix、Android、iOS，而各种系统上又有多种可用的浏览器，如IE的多种版本、Firefox、Google Chrome、Safari等，因此需要针对不同设备，进行相应的操作系统平台和浏览器的兼容性测试。
   兼容性测试矩阵是进行兼容性测试的常用工具，将操作系统平台和浏览器为矩阵的两维，对相应组合进行测试。

通信吞吐量：P=N(并发用户的数量=50)×T(每单位时间的在线事务数量=5)×D(事务服务器每次处理的数据负载=12KB/s)=50×5×12=3000KB/s。

[解析] 本问题考查Web应用系统的性能指标计算。通信吞吐量，设定如下指标参数：
   N：并发用户的数量；
   T：每单位时间的在线事务数量
   D：事务服务器每次处理的数据负载
   P：系统的通信吞吐量
   有如下计算公式：
   P=N×T×D
   本题中系统要求支持的(1)中给出50个用户并发，即N=50;主要功能的处理能力至少要达到5个请求/秒，即T=5；平均数据量12KB/请求，即D=12KB/s。
   则：通信吞吐量P=50×5×12=3000KB/s

该SQL语句不安全，容易造成SQL注入。
   设计测试用例：
   [注：设计类似如下用例的一个即可，其中应包含SQL功能符号，使得该SQL语句变得不符合设计意图即可，例如，包含了“--”或“’，DROP……”等]
   参考用例1：
   strUserName:Zhang'--strPassword:San
   [注：上述用例将使得该SQL语句变为：
   SELECT*FROM Users WHERE User_Name='Zhang'--AND Password='San';]
   参考用例2：
   strUserName:Zhang'or'a'='a    strPassword:San'or'a'='a
   [注：上述用例将使得该SQL语句变为：
   SELECT*FROM Users WHERE User Name='Zhang'or'a'='a'AND Password='San'or'a'='a'：]
   防止SQL注入的方法主要有：拼接SQL之前对特殊符号进行转义，使其不作为SQL语句的功能符号。

[解析] 本问题考查Web应用安全性方面。SQL注入是Web应用安全性测试的重要方面。
   许多Web应用系统采用某种数据库，接收用户从Web页面中的输入，完成展示相关存储的数据(如，检查用户登录信息)、将输入数据存储到数据库(如，用户输入表单中数据域并点击提交后，系统将用户名密码等注册信息存入数据库)等操作。在有些情况下，将用户输入的数据和设计好的SQL框架拼接后提交给数据库执行，就可能存在用户输入的数据并非设计的正确格式，就给恶意用户提供了破坏的机会，即SQL注入。恶意用户输入不期望的数据，拼接后提交给数据库执行，造成可能使用其他用户身份、查看其他用户的私密信息，还可能修改数据库的结构，甚至是删除应用的数据库表等严重后果。因此需要在测试阶段进行认真严格的测试。
   本系统实现时，对用户的登录判断所用的动态SQL语句是：
   "SELECT*FROM Users WHERE User_Name='"+strUserName+"'AND Password='"+ strPassword+"';"
   采用拼接字符串方式，无法防止SQL注入。
   例如strUserName：'Zhang'--，strPassword:San，则该SQL变为：
   SELECT*FROM Users WHERE User_ Name='Zhang'--AND Password='San';
   “--”是SQL中注释符号，其后的内容为注释，这样上述语句中“--”之后的内容变为注释，只要用户表中有用户名为Zhang，系统就允许用户以Zhang的身份登录，并以Zhang的身份做任何可做的操作。
   再比如strUserName:Zhang'or'a'='a，strPassword:San'or'a'='a，则该SQL变为：
   SELECT*FROM Users WHERE User_Name='Zhang'or'a'='a'AND Password='San'or'a'='a'；
   因为'a'='a'条件总是成立，因此，SQL执行结果包括用户表中所有行，系统就允许以第一行的身份进行登录。
   更为严重的情况下，如果用户输入strUserName:Zhang';DROP table users_details;'--'以及任何字符串作为strPassword，该SQL就变为：
   SELECT*FROM Users WHERE User=Name='John';DROP table users_details;'--'AND Password='San;
   这就造成数据库中users_details表被永久删除。
   防止SQL注入的方法主要有：拼接SQL之前对特殊符号进行转义，使其不作为SQL语句的功能符号。
   SQL注入在使用SSL的应用中仍然存在，甚至是防火墙也无法防止SQL注入。因此，在测试Web应用时，需要认真仔细设计测试用例，采用Web漏洞扫描工具等进行检查，以保证不存在SQL注入机会。

1)在真实环境下检测系统性能，评估系统性能以及服务等级的满足情况
   2)预见系统负载压力承受力，在应用实际部署之前，评估系统性能
   3)分析系统瓶颈、优化系统

[解析] 本问题考查负载压力测试的测试目的。
   负载压力测试的目的包括：在真实环境下检测系统性能，评估系统性能以及服务等级的满足情况；预见系统负载压力承受力，在应用实际部署之前，评估系统性能；分析系统瓶颈、优化系统。

1)并发用户数
   2)响应时间
   3)资源利用率

[解析] 本问题考查性能测试的性能指标。性能测试指标包括并发用户数、响应时间、吞吐量、资源利用率等。
   该系统涉及的性能指标包括：并发用户数，响应时间和资源利用率。

数据接收模块的测试结果不满足性能指标。当接收间隔为200ms时，存数据库交易成功率为80%，不满足交易成功率100%的要求；当接收间隔为200ms时，CPU利用率为43.8%，不满足不超过40%的要求。
   数据查询模块的测试结果满足性能指标。要求至少支持10个并发用户，所以在15个并发用户的时候响应时间超出3s不能算作不满足。

[解析] 本问题考查能否正确判断测试指标是否合理。
   对数据接收模块来说，当接收频率为200ms时，存数据库交易成功率为80%，不满足交易成功率100%的要求；当接收频率为200ms时，CPU利用率为43.8%，不满足不超过40%的要求。因此数据接收模块的测试结果不满足性能指标。
   对数据查询模块来说，要求至少支持10个并发用户的情况下响应时间在3秒以内，这样在15个并发用户的时候响应时间超出3秒不能算作不满足。数据查询模块的测试结果满足性能指标。

1)数据接收模块软件没有采用合适的并发/并行策略
   2)服务器CPU性能不足

[解析] 本问题考查工程师对系统瓶颈的初步判断。
   根据问题3可以看出，当接收频率过高时，存数据库交易成功率和CPU剩用率均不满足需求。存数据库交易成功率问题的可能原因有两个，一是该模块程序没有采用合适的并发/并行策略，二是数据库本身的设计或者优化不够；而CPU利用率的问题则是因为服务器CPU本身性能不够。
   因此，可能瓶颈为：数据接收模块软件没有采用合适的并发/并行策略；服务器CPU性能不足；数据库设计不足或者优化不够。