防止Access資料庫被下載

來源:互聯網
上載者:User
access|資料|資料庫|下載 資料庫在網站的核心,一切的SQL侵入都是衝著資料庫來的。一旦網站的資料庫被人下載那就算你的資料庫是MD5加密,還是可以被人暴力破解

出來。使用者的資料丟失,是對自己也是對使用者的一種傷害。
那怎麼樣防止資料庫被下載呢。
下面是我從網上摘的一篇文章。
-------------------------------------------------------------------------------------------

防止資料庫被下載的幾個方法


前言:很多動態網站大量應用了資料庫,資料庫理所當然成了一個網站的核心檔案。一旦資料庫被人下載,極有可能被惡意人士破壞網站。或

者竊取資料。實在痛心啊。有什麼方法可以防止資料庫被人下載呢?

下面提供的的方法分別適用使用虛擬機器主機空間的使用者和有IIS控制權的使用者!
一:購買虛擬機器主機空間的,適合沒有IIS控制權

1:發揮你的想象力 修改資料庫檔案名
這個是最基本的。我想現在也沒有多少連資料庫檔案名都懶得改的人吧? 至於改成什麼,你自己看著辦,至少要保證檔案名稱複雜,不可猜測性

。當然這個時候你的資料庫所在目錄是不能開放瀏覽目錄許可權的!

2:資料庫名尾碼改為ASA、ASP等
這個聽說很流行,不過我測試了好多次,發現並不理想,如果真正要起到防止下載的作用,要進行一些2進位欄位添加等設定,---一句話,繁

而複雜(如果你的資料庫有很多的話,這個方法實在不是很好)

3:資料庫名前加“#”
只需要把資料庫檔案前名加上#、然後修改資料庫連接檔案(如conn.asp)中的資料庫地址。原理是下載的時候只能識別 #號前名的部分,對於

後面的自動去掉,比如你要下載:http://www.pcdigest.com/date/#123.mdb(假設存在的話)。無論是IE還是FLASHGET等下到的都是

http://www.pcdigest.com/date/index.htm(index.asp、default.jsp等你在IIS設定的首頁文檔)
另外在資料庫檔案名中保留一些空格也起到類似作用,由於HTTP協議對位址解析的特殊性,空格會被編碼為"%",如

http://www.pcdigest.com/date/123 456.mdb,下載的時http://www.pcdigest.com/date/123%456.mdb。而我們的目錄就根本沒有123%456.mdb

這個檔案,所以下載也是無效的這樣的修改後,即使你暴露了資料庫地址,一般情況下別人也是無法下載!

4:加密資料庫
用ACCESS將你的資料庫以獨佔方式開啟後,在工具-安全-設定資料庫密碼,加密後要修改資料庫連接頁, 如:
conn.open "driver={microsoft access driver (*.mdb)};uid=admin;pwd=資料庫密碼;dbq=資料庫路徑"
這樣修改後,資料庫即使被人下載了,別人也無法開啟(前提是你的資料庫連接頁中的密碼沒有被泄露)
但值得注意的是,由於Access資料庫的加密機制比較簡單,即使設定了密碼,解密也很容易。該資料庫系統通過將使用者輸入的密碼與某一固定

密鑰進行“異或”來形成一個加密串,並將其儲存在*.mdb檔案從地址“&H42”開始的地區內。所以一個好的程式員可以輕鬆製作一個幾十行的

小程式就可以輕鬆地獲得任何Access資料庫的密碼。因此,只要資料庫被下載,其資訊安全依然是個未知數。



二:有主機控制權 (當然虛擬空間的設定在這裡依然可以用)
5:資料庫放在WEB目錄外
如你的WEB目錄是e:\webroot,可以把資料庫放到e:\data這個檔案夾裡,在e:\webroot裡的資料庫連接頁中
修改資料庫連接地址為:"../data/資料庫名" 的形式,這樣資料庫可以正常調用,
但是無法下載的,因為它不在WEB目錄裡!這個方法一般也

不適合購買虛擬空間的使用者。

6:使用ODBC資料來源。
在ASP等程式設計中,如果有條件,應盡量使用ODBC資料來源,不要把資料庫名寫在程式中,
否則,資料庫名將隨ASP原始碼的失密而一同失密,

例如: DBPath = Server.MapPath(“../123/abc/asfadf.mdb ”)
conn.open “driver={Microsoft Access Driver (*.mdb)};dbq=”& DBPath
可見,即使資料庫名字起得再怪異,隱藏的目錄再深,ASP原始碼失密後,也很容易被下載下來。
如果使用ODBC資料來源,就不會存在這樣的問題

了: conn.open “ODBC-DSN名” ,不過這樣是比較煩的,目錄移動的話又要重新設定資料來源了
更方便的方法請看第7,8法!

7:添加資料庫名的如MDB的擴充映射
這個方法就是通過修改IIS設定來實現,適合有IIS控制權的朋友,不適合購買虛擬機器主機使用者(除非管理員已經設定了)
。這個方法我認為是目前

最好的。只要修改一處,整個網站的資料庫都可以防止被下載。無須修改代碼即使暴露目標地址也可以防止下載,
如圖1、2設定:

此主題相關圖片如下:


我們在 IIS屬性---主目錄---配置---映射---應用程式擴充那裡添加.mdb檔案的應用解析。
注意這裡的選擇的DLL(或EXE等)似乎也不是任意

的,選擇不當,這個MDB檔案還是可以被下載的, 注意最好不要選擇選擇asp.dll等。
你可以自己多測試下
這樣修改後下載資料庫如:http://192.168.1.5/HaoBbs/data/dvbbs6.mdb。
就出現(404或500等錯誤)

8:使用.net的優越性
動網的木鳥就寫過一個防非法下載檔案的“WBAL 防盜鏈工具”。
具體可以登陸http://www.9seek.com/WBAL/
不過 那個只實現了防止非本地下載的 ,沒有起到真正的防下載資料庫的功能。
不過這個方法已經跟5法差不多
可以通過修改.NET檔案,實現本地也不能下載!

這幾個方法中,只有第7和8個是統一性改的,一次修改配置後,整個網站的資料庫都可以防止下載,
其他幾個就要分別修改資料庫名和串連文

件,比較麻煩,不過對於虛擬機器主機的朋友也只能這樣了!

其實第6個方法應該是第5個方法的擴充,可以實現特殊的功能,但對於不支援.net的主機或者怕設定麻煩的話,
還是直接用第5個方法了,而且預設情況下第6個方法,依然可以通過複製串連到同主機的論壇或留言本發表,
然後就可以點擊下載了
(因為這樣的引用頁是來自同主機的)

這幾個方法各有長短,請自己選擇性地使用。這些方法也不是絕對的安全,還需要網站管理員平時注意一些系統的安全,以及寫

ASP/ASP.NET/JSP代碼本身的安全 ,否則依然是有可能被人下載或者修改資料庫的!
-------------------------------------------------------------------------------------------
個人認為除了第7種方法可能會有用外,其他的都是狗屁。但第7種方法對購買虛擬機器主機空間的使用者無效。那怎麼樣才能有效防止資料庫被下載呢?
第一種方法:資料庫命名法。
資料庫名字寫的再複雜,都可能是沒用的,因為資料庫路徑可能被暴露。一旦被人在地址欄用非法的一些字元暴露了資料庫路徑。你也就掛了。資料庫尾碼改為asa,asp或在前面在#也都是不可行的,我試了,都是可以用網際快車下載的。所以我總結了我的經驗,一般方法是這樣的。
修改資料庫連接頁conn.asp,在裡面開啟串連的地方寫上on error resume next.此句是防止資料庫暴庫。然後資料庫名字改為global.asa,但不要放在網站的根目錄。這樣你的資料庫就不會被非法下載了。
第二種方法:ASP出錯法。
開啟你的資料庫,在資料庫裡建立某一表,裡面的欄位名稱<%nodownload%>資料類型文本型,然後在資料裡添上<%dsfsfsfsdf%>,裡面隨便只要不是可以解析的ASP語句就可以。伺服器會把ASP尾碼的檔案當做ASP檔案解析,但一旦裡面出現非法的ASP語句,就是以無法解析的ASP語句,下載時就會顯示第幾行ASP語句出錯,就無法被下載了。
第三種方法:COPY法。
把資料庫改為1.asp先,建立一個文本1.txt在裡面寫上
<%response.redirect "err.htm"%>就是重新導向到err.htm 頁面。再做一個err.htm頁面,代碼如下:
<html>
<head></head><body>哈哈,資料庫受到保護了。</body></html>
然後在DOS下執行如下命令:copy 1.asp/b+1.txt/a 2.asp
意思就是檔案合并拷貝,1.asp以二進位方式,1.txt以ASCII方式拷貝,合成新的資料庫2.asp現在你即使被暴庫別人在瀏覽器或flashget 的想下載你的資料庫也只能下載到 err.htm檔案了。
一點拙見。
一點拙見。




相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。