博客网 >

IIS + Access 数据库防止下载
作者:分类:默认分类标签:

      在目前的网站搭建中,最为常见的一种组建方式是IIS + ASP + Access。如果不考虑操作系统平台的安全性,最为重要的部分是数据库,如果恶意攻击者获得了数据库,就可以获得 Administrator权限,给网站造成极大的损害。
      对于 Access 数据库的安全性,即使使用密码进行保护,也很容易进行破解。而一旦破解了密码,就能从中得到管理员密码。即使管理员密码采用 MD5 散列存储,也很容易通过碰撞产生。也就是说,要保护 Access 数据库的安全,必须要防止其被非法下载。
      最简单的方法就是将数据库命名为一个非常规的随机名字,让攻击者难以猜测。但是,由于目前网上已经出现了能够察看 ASP 源码的软件,所以这种方法并不是完全有效的。一种改进的方案就是使用 ODBC 数据源来隐藏数据库路径及文件名。
      其次,就是在数据库的名字开始部分加上“#”。这样,就可以防止数据库通过浏览器被下载,因为根据 RFC 关于 URL 的定义,符号“#”表示返回上一级路径。但是,目前有的下载软件,如影音传送带,就能够下载这样命名的数据库。
      最后讨论一种在目前环境中比较安全的方案。也就是在数据库中新建一张表格,添加一个 OLE对象类型的字段,并在其中插入一个文本文件。文本文件的内容为“<%”。最后,将数据库的后缀名改为“.asp”。这样,就能利用 ASP 语言的自身属性防止数据库被下载。
      以上为我对IIS网站中数据库防止下载的一些个人看法,如果大家有什么好的办法,请告诉我!

<< Vigenere密码的改进 / RC4加密算法 >>

专题推荐

不平凡的水果世界

不平凡的水果世界

平凡的水果世界,平凡中的不平凡。 今朝看水果是水果 ,看水果还是水果 ,看水果已不是水果。这境界,谁人可比?在不平凡的水果世界里,仁者见仁,智者见智。

中国春节的那些习俗

中国春节的那些习俗

正月是农历新年的开始,人们往往将它看作是新的一年年运好坏的兆示期。所以,过年的时候“禁忌”特别多。当然,各个地方的风俗习惯不一样,过年的禁忌也是不一样的。

评论
0/200
表情 验证码:

Romeo

  • 文章总数0
  • 画报总数0
  • 画报点击数0
  • 文章点击数0
个人排行
        博文分类
        日期归档