• ----:)欢迎访问源码网(:----
    • 首页
    • 博客
    • 学院
    • 下载
    • 论坛
    • 影视
    • 发布源码
    • RSS
    • ITPig
    • 笑话网
    • 百家姓
    • 繁體中文

源码网 - 中国第一源码门户
选择镜像:网通镜像 - 电信主站
  • 首 页
  • 新闻动态
  • 网站运营
  • 网页制作
  • WEB开发
  • 编程开发
  • 图像媒体
  • 操作系统
  • 数据库
  • 服务器
热门搜索 优化 SEO 故事 cms IIS7 MySQL 个人 AdSense 主题推广 | 文章搜索: 高级搜索
会员登录/控制面版您的位置: 学院首页 >> 数据库 >> 详细内容
 

推荐文章

  • SQL数据库的备份、压缩与SQL数据库数据处理的方法
  • 《MySQL管理员指南》之一----MySQL安全性指南
  • 压缩SQL数据库
  • 实例讲解MYSQL数据库的查询优化技术
  • MySQL查询优化技术讲座
 
 

热点文章

  • 安装SQL Server 2005实例环境图解
  • SQL数据库的备份、压缩与SQL数据库数据处理的方法
  • SQL SERVER 2005数据库镜像
  • SQL Server 性能优化工具
  • SQL数据库还原出现错误112(磁盘空间不足)的解决办法
  • 支持中文的MySQL 5.1+ 全文检索分词插件
  • MySQL数据导入导出方法与工具mysqlimport
  • VS.NET中构建数据库应用程序
  • 如何使用SQL Server 2000中的XML功能
  • Server 2005性能排错
  • 《MySQL管理员指南》之一----MySQL安全性指南
  • SQL Server 2000中的SQL语言简介
 
 

相关文章

  • 把Access数据库移植到SQL
  • Access数据库安全的几个问题
  • 防止ACCESS数据库被下载的9种方法
  • Access数据库与SQLserver2000的数据互导
  • 防止ACCESS数据库被下载的9种方法!
 
 

百度搜索

 
 

Access数据库安全之反下载

  • 阅览次数:
  • 文章来源: cp整理
  • 原文作者: 不详
  • 整理日期: 2007-04-13
  • 发表评论
  • 字体大小:
  • 小
  • 中
  • 大

 

 

今天再次看到Access数据库安全的文章,每次看到这种文章就想说上两句,流行说法有几种:

一、密码式

给数据库起一个随机复杂的名称,避免被猜到被下载,这种方式在以前很流行,因为大家都对自己的代码很有自信。但随着错误提示对数据库地址的泄露导致数据库被非法下载,这种方式也就越来越少人用了。

这种方法,已经很少被用到了,除了对安全不甚了解的程序员,虽然少,但是还是会遇到,比如前几天看到的物业的网站。

二、"#"式

在数据库名称里加上#号,从URL上请求时#是请求地址和请求参数的一个分隔字符,如果知道了数据库名,直接请求的话,如:http://www.xx.com/access#.mdb,WEB服务器会认为请求的是access而不是access#.mdb,所以会提示找不到文件,但是很遗憾,URL中对于这些特殊的字符都会有一个特殊的表示方式,#的特殊表示就是%23,如http://www.xx.com/access%23.mdb,那么access#.mdb将会被下载。还有如果用FlashGet之类的下载工具也可以直接下载。

这种方法感觉有点类似于掩耳盗铃,因为通过下载工具,可以很方便的下载,没有什么实际意义,除了对付刚接触的人。

三、ASP式

这种作法是比较专业但也是很安全的也是现在比较流行的作法,但是现在许多的人只是作了一半,只是将数据名改成ASP而以,这样的话直接用FlashGet之类的下载工具一样可以将数据库下载,这种方式的正确作法有两步:

第一步:在数据库内创建一个字段,名称随意,类型是OLE对象,内容设置为单字节型的"<%",即(ASP代码chrB(asc("<")) & chrB(asc("%"))的运行结果)

第二步:将数据库改名为ASP

这样从URL上直接请求这个数据库将会提示"缺少关闭脚本分隔符",从而拒绝下载,因为这个方式比较麻烦我在网上找了一段小代码来完成OLE对象的插入工作,只要将数据库名设置好,然后放在和数据库内一目录运行一下就可以了。 



代码全文数下:

<%

db="d.mdb" '这里改成您的数据库地址

set conn=server.createobject("Adodb.Connection")

connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath(db)

conn.open connstr

conn.execute("create table notdownload(notdown oleobject)")

'提示表及字段创建成功

response.write "表、字段创建成功!"

set rs=server.createobject("adodb.recordset")

sql="select * from notdownload"

rs.open sql,conn,1,3

rs.addnew

rs("notdown").appendchunk(chrB(asc("<")) & chrB(asc("%")))

rs.update

rs.close

'提示内容添加成功

response.write "内容添加完成!"

set rs=nothing

conn.close

set conn=nothing

%>


这段代码运行完之后将会在数据库内生成一个nodownload表,表内字段是notdown。如果数据库内已有同名的数据表存在请将代码内的nodownload改成自己想要的数据表名即可。

这种方法用的比较普遍,正如作者所说,大多数人只是将mdb后缀改称了asp,实际上如果知道路径,用flashget一样可以下载。

作者提供的asp源代码,可以直接创建表和字段,并添加内容。大家可以保存为.asp文件,在浏览器执行一次即可。

当然也可以直接编辑数据库:

1、打开access数据库

2、使用设计创建表,添加字段notdown,类型使用“OLE对象”

3、保存为nodownload,不创建主键。

4、打开记事本,编辑文件nodownload.txt,内容为“<%”。

5、打开nodownload表,点击右键-->插入对象,选择从文件插入,定位到nodownload.txt,确认。

以上都需要在数据库创建一个表,大家可以把这个表留着不管,也可以直接删除,同样可以起到反下载的功能,即:执行后再删除。关于这一点,大家可以试试。

四、asa式

这种方式的真谛是利用IIS对ASA文件的保护,从而使得数据库文件不能从URL上直接请求下载,但是这种方式被误解成只要将文件后缀改成ASA就可以了。要知道IIS只是对global.asa这个文件名有请求保护,所以这种方式只能将数据库名设置为global.asa,而且要注意的是,设置成global.asa之后最好不要将其放在主机或虚拟目录的根目录里,不然会被IIS当然正常的global.asa文件进行尝试运行的。

这种方法也比较不错的,但是如果网站已经使用了global.asa,有时候容易混淆,大家根据情况看吧。

感觉第三第四种是比较安全的,除非IIS有查看ASP或ASA源码的漏洞,否则是无法将数据库下载的。

上一篇:PHP使用zlib扩展实现页面GZIP压缩输出
下一篇:构建支持Master/Slave读写分离的数据库操作类
  • 网友评论:
  • 查看所有评论
  • 我要发表评论
您的网名:
留言主题:
你要发表的内容:

 

关于本站 | 广告联系 | 版权声明 | 网站地图 | 发布软件 | 帮助中心 | 源码论坛

Copyright © 2005-2007 CodePub.Com  程序支持:木翼  滇ICP备05005971号