防止ACCESS數(shù)據(jù)庫被下載的9種方法_Access數(shù)據(jù)庫教程

      編輯Tag賺U幣
      教程Tag:暫無Tag,歡迎添加,賺取U幣!

      推薦:高手支招ASP及Access的安全隱患及對(duì)策
        隨著Internet的發(fā)展,Web技術(shù)日新月異。繼通用網(wǎng)關(guān)接口(CGI)之后,“ASP”作為一種典型的服務(wù)器端網(wǎng)頁設(shè)計(jì)技術(shù),被廣泛地應(yīng)用在網(wǎng)上銀行、電子商務(wù)、搜索引擎等各種互聯(lián)網(wǎng)應(yīng)用

        篇首語:原來改mdb為asp就能防下載是鬼話。

        引子:昨天和animator試驗(yàn)了一下,把 data.mdb文件改名為data.asp文件后放在wwwroot目錄里。然后 在IE中輸入data.asp路徑后,發(fā)現(xiàn)IE顯示一片空白,右鍵- >察看源文件,跳出記事本,將內(nèi)容另存為。mdb文件 ,用ACCESS打開,發(fā)現(xiàn)需要密碼,也就是說至少文件頭被破壞。

        然后用 Flashget試驗(yàn)下載data.asp文件,并另存為data.mdb文件,發(fā)現(xiàn)用ACCESS打開完好無損!!!看 來,好一些編程人員在開發(fā)的時(shí)候都認(rèn)為,改了mdb后綴為asp就能防下載的概念,是錯(cuò)的!后臺(tái)數(shù)據(jù)庫被下載對(duì)于一個(gè)asp a ccess的網(wǎng)站來說無疑是一場(chǎng)慘絕人寰的災(zāi)難。今天找了各方的文章,歸納一下有以下9種辦法防止數(shù)據(jù)庫被下載(歡迎補(bǔ)充):& nbsp;

        1.發(fā)揮你的想象力 修改數(shù)據(jù)庫文件名不用說,這是最最偷懶的方法,但是若攻擊者通過第三方途徑獲得了數(shù)據(jù)庫的路徑),就玩完了。比如說攻擊者本來只能拿到list權(quán) ,結(jié)果意外看到了數(shù)據(jù)庫路徑,就可以冠冕堂皇地把數(shù)據(jù)庫下載回去研究了。另外,數(shù)據(jù)文件通常大小都比較大,起再隱蔽的文件名都瞞 不了人。故保密性為最低。

        2.數(shù)據(jù)庫名后綴改為ASA、ASP等

        此法須配合一些要進(jìn)行一些設(shè)置,否則就會(huì)出現(xiàn)本文開頭的那種情況

        (1)二進(jìn)制字段添加(此招我還沒有煉成-_- )。

        (2) 在這個(gè)文件中加入<%或%>,IIS就會(huì)按ASP語法來解析,然后就會(huì)報(bào)告500錯(cuò)誤,自然不能下載了。可是 如果只是簡單的在數(shù)據(jù)庫的文本或者備注字段加入<%是沒用的,因?yàn)锳CCESS會(huì)對(duì)其中的內(nèi)容進(jìn)行處理,在數(shù)據(jù)庫里他會(huì)以 < %的形式存在,無效!正確的方法是將 <%存入OLE對(duì)象字段里,這樣我們的目的就能達(dá)到了。&nbs p;作方法:首先,用notepad新建一個(gè)內(nèi)容為 <% 的 文本文件,隨便起個(gè)名字存檔。

        接著,用Access打開您的數(shù)據(jù)庫文件,新建一個(gè)表,隨便起個(gè)名字,在表中添加一個(gè)OLE對(duì)象的字段,然后添加一個(gè)記錄, 插入之前建立的文本文件,如果操作正確的話,應(yīng)該可以看到一個(gè)新的名為"數(shù)據(jù)包"的記錄。即可

        3.數(shù)據(jù)庫名前加"#"只需要把數(shù)據(jù)庫文件前名加上#、然后修改數(shù)據(jù)庫連接文件(如conn.asp)中的數(shù)據(jù)庫地址。原理是下載的時(shí)候只能識(shí)別& nbsp;#號(hào)前名的部分,對(duì)于后面的自動(dòng)去掉,比如你要下載:http://www.pcdigest.com/date/# 123.mdb(假設(shè)存在的話)。無論是 IE還是FLASHGET等下到的都是http://www.test.com/dat e/index.htm(index.asp、 default.jsp等你在IIS設(shè)置的首頁文檔)

        另外在數(shù)據(jù)庫文件名中保留一些空格也起到類似作用,由于HTTP協(xié)議對(duì)地址解析的特殊性,空格會(huì)被編碼為"%",如http ://www.test.com/date/123 ;456.mdb,下載的時(shí)http: //www. test.com/date/123 E6.mdb.而我們的目錄就根本沒有123E6.mdb這個(gè)文件,所 以下載也是無效的這樣的修改后,即使你暴露了數(shù)據(jù)庫地址,一般情況下別人也是無法下載!

        4.加密數(shù)據(jù)庫首先在選取"工具-> 安全->加密/解密數(shù)據(jù)庫,選取數(shù)據(jù)庫(如:employer.mdb),然后接確定,接 著會(huì)出現(xiàn)"數(shù)據(jù)庫加密后另存為"的窗口,存為: employer1.mdb.接著employer.mdb就會(huì)被編碼,然后存為 employer1.mdb……要注意的是,以上的動(dòng)作并不是對(duì)數(shù)據(jù)庫設(shè)置密碼,而只是對(duì)數(shù)據(jù)庫文件加以編碼,目的是為了防止他 人使用別的工具來查看數(shù)據(jù)庫文件的內(nèi)容。

        接下來我們?yōu)閿?shù)據(jù)庫加密,首先以打開經(jīng)過編碼了的 e mployer1.mdb,在打開時(shí),選擇"獨(dú)占"方式。然后選取功能表的"工具->安全->設(shè)置數(shù)據(jù)庫密碼",& nbsp;接著輸入密碼即可。這樣即使他人得到了employer1.mdb文件,沒有密碼他是無法看到 emplo yer1.mdb的。

        加密后要修改數(shù)據(jù)庫連接頁, 如:conn.open "driver={microsoft access driver&nb sp;(*.mdb)};uid=admin;pwd=數(shù)據(jù)庫密碼;dbq=數(shù)據(jù)庫路徑"這樣修改后,數(shù)據(jù)庫即使被人下載了,別人也無法打開(前提是你的數(shù)據(jù)庫連接頁中的密碼沒有被泄露)

        但值得注意的是,由于Access數(shù)據(jù)庫的加密機(jī)制比較簡單,即使設(shè)置了密碼,解密也很容易。該數(shù)據(jù)庫系統(tǒng)通過將用戶輸入的 密碼與某一固定密鑰進(jìn)行" 異或"來形成一個(gè)加密串,并將其存儲(chǔ)在*.mdb文件從地址"&H42"開始的區(qū)域內(nèi)。所以一 個(gè)好的程序員可以輕松制作一個(gè)幾十行的小程序就可以輕松地獲得任何Access數(shù)據(jù)庫的密碼。因此,只要數(shù)據(jù)庫被下載,其信息安 全依然是個(gè)未知數(shù)。

      分享:ASP完美轉(zhuǎn)化ACCESS為SQL數(shù)據(jù)庫連接
      其實(shí)兩者基本通用 步驟很簡單3步: 1,轉(zhuǎn)化MDB數(shù)據(jù)庫到SQL SQL工具里就有 2, 更改數(shù)據(jù)庫鏈接字串 以下為代碼: 以下為引用的內(nèi)容: Set Conn=Server.

      共6頁上一頁123456下一頁
      來源:模板無憂//所屬分類:Access數(shù)據(jù)庫教程/更新時(shí)間:2008-08-22
      相關(guān)Access數(shù)據(jù)庫教程