三大措施設置資料庫安全 保障網站安全運營

資料庫，網站運營的基礎，網站生存的要素，不管是個人使用者還是企業使用者都非常依賴HTTP://www.aliyun.com/zixun/aggregation/8613.html">網站資料庫的支援， 然而很多別有用心的攻擊者也同樣非常「看重」網站資料庫。

對於個人網站來說，受到建站條件的制約，Access資料庫成了廣大個人網站站長的首選。 然而，Access資料庫本身存在很多安全隱患，攻擊者一旦找到資料庫檔案的存儲路徑和檔案名，尾碼名為「.mdb」的Access資料庫檔案就會被下載，網站中的許多重要資訊會被一覽無餘，非常可怕。 當然，大家採用了各種措施來加強Access資料庫檔案的安全，但真的有效嗎?

存在漏洞的保護措施

流傳最為廣泛的一種Access資料庫檔案保護措施，是將Access資料庫檔案的尾碼名由「.mdb」改為「.asp」，接著再修改資料庫連接檔(如conn.asp)中的資料庫位址內容， 這樣一來即使別人知道資料庫檔案的檔案名和存儲位置，也無法進行下載。

這是網上最流行的一種增強Access資料庫安全的方法，而且還有強大的「理論基礎」。

因為「.mdb」檔不會被IIS伺服器處理，而是直接將內容輸出到Web瀏覽器，而「.asp」檔則要經過IIS伺服器處理，Web瀏覽器顯示的是處理結果，並不是ASP檔的內容。

但大家忽略了一個很重要的問題，這就是IIS伺服器到底處理了ASP文檔中的哪些內容。 這裡筆者提醒大家，只有ASP檔中「」標誌符間的內容才會被IIS伺服器處理，而其他內容則直接輸出到使用者的Web瀏覽器。 你的資料庫檔案中包含這些特殊標誌符嗎?即使有，Access也可能會對文檔中的「」標誌符進行特殊處理，使之無效。 因此後綴為「.asp」的資料庫檔案同樣是不安全的，還是會被惡意下載。

面對蠱惑人心的理論，以及眾人的附和，筆者也開始相信此方法的有效性。 但事實勝於雄辯，一次無意間的試驗，讓筆者徹底揭穿了這個謠言。

筆者首先將一個名為「cpcw.mdb」的資料庫檔案改名為「cpcw.asp」，然後上傳到網站伺服器中。 運行flashGet，進入「添加新的下載任務」對話方塊，在「網址」欄中輸入「cpcw.asp」檔的存儲路徑，然後在「重命名」欄中輸入「cpcw.mdb」。 進行下載後，筆者發現可以很順利地打開「cpcw.mdb」，而且它所存儲的資訊也被一覽無餘。 這就充分說明瞭單純地將資料庫檔案名的尾碼「.mdb」改為「.asp」，還是存在安全隱患。

沒有最「安全」，只有更「安全」

任何事情都不是絕對的，因此增強Access資料庫檔案的安全也只是相對的。 畢竟Access只能用於小型資料庫的解決方案，它存在很多先天不足，特別是在安全方面。

我們所採用的各種方法，也只是相對來說增強了Access資料庫檔案的安全，並不能實現絕對的安全，畢竟先天不足的問題是無法解決的。 下面筆者為大家介紹一些方法，雖然不能完全防止別人下載Access資料庫檔案，但只要你善用它們，Access資料庫檔案就會更安全。

方法一:資料庫檔案名應複雜

要下載Access資料庫檔案，首先必須知道該資料庫檔案的存儲路徑和檔案名。 如果你將原本非常簡單的資料庫檔案名修改得更加複雜，這樣那些「不懷好意」者就要花費更多的時間去猜測資料庫檔案名，無形中增強了Access資料庫的安全性。