问:大家都知道,Asp程序使用得最多的数据库类型就是Access,如PJ-Blog、Z-Blog等。这是因为Access数据库简单小巧,直接上传到服务器上就可以用了。尽管简便,然而Access也有不足之处,其中比较伤脑筋的便是其安全性问题。大部分黑客攻击此类Asp站点,就是从获取Access数据库开始的。请问,怎样才能有效防范Access数据库被恶意下载呢?请PCWHY不吝赐教!
答:防范Access数据库被恶意下载是个复杂的问题,具体可以从以下八大措施入手构筑防线——
防范措施一:将数据库文件名命名得尽可能地复杂
这是最最偷懒的方法了!所以,这个法子的安全指数也并非最高。若攻击者通过第三方途径获得了数据库的路径,你就玩完了。比如说我本来只能拿到list权,结果意外看到了你的数据库路径,那我便可冠冕堂皇地把数据库下载回去研究了。另外,数据文件通常大小都比较大,取再隐蔽的文件名也瞒不了人。呵呵,所以此法我并不提倡。
防范措施二:修改数据库名后缀为Asa或Asp等格式
这一做法,安全指数相对第一种行为会高一些,但同样存在着隐患。它必须配合一些必要的设置进行,如:在数据库文件中加入<%或%>标签,这样,IIS才会按Asp语法来解析,然后报告500错误,使歹徒无法下载。可是,假如只是简单地在数据库的文本或备注字段中加入<%是起不到作用的,因为Access会对其中的内容进行处理,在数据库里它会以< %的形式存在,无效哦!正确的方法应该是将<%存入OLE对象字段里,这样我们的防范目的才能达到。
操作方法如下: 先用notepad新建一个内容为“<%”的文本文件,然后随便取个名字存档。接着,用Access打开你的数据库文件,新建一个表,随便取个什么名字,然后在表中添加一个OLE对象的字段,并添加一条记录,插入之前建立的文本文件,要是操作正确,便可以看到一个新的名为“数据包”的记录。可以了!
防范措施三:在数据库名称前加上“#”等特殊符号
在数据库文件名之前加上“#”等特殊符号、然后修改数据库连接文件(如c_custom.asp)中的数据库地址,也可以起到不错的保护作用。原理是:当歹徒下载的时候,浏览器或下载工具将只能识别“#”符号前的部分地址,而对于“#”后面的名将自动去除。举个例子,假设你要下载:http://www.xxk123.com/date/#123.mdb(如果存在的话),当你输入该地址回车,此时无论是Ie还是Flashget等,下载到的将都是http://www.xxk123.com/date/index.htm(index.asp、default.jsp等你在IIS设置的首页文档)。
另外,在数据库文件名中保留一些空格也能起到类似作用,由于Http协议对地址解析的非凡性,空格会被编译为"%",比如你要下载:http://www.xxk123.com/date/123456.mdb(123与456之间是个空格),当你输入该地址回车,此时你下载到的将是http://www.xxk123.com/date/123%456.mdb。而我们的目录中,根本就没有123%456.mdb这个文件,所以下载也是无效的。经过这样的修改以后,即使你暴露了数据库地址,一般情况下别人也无法下载得到。所以,这项措施的安全指数较之前两法,有更高了一筹。
防范措施四:为你的Access数据库加密
选取“工具->安全->加密/解密数据库,选取数据库(如:ABC.mdb)”,然后按确定,接着会出现“数据库加密后另存为”的窗口,另存为:ABC1.mdb,接着原数据库ABC.mdb就会被编码,然后另存为ABC1.mdb。注意,以上动作并不是对数据库设置密码,而是对数据库文件加以编码,目的是为了防止他人使用查看工具来查阅数据库文件中的内容。接下来的操作是:首先打开经过编码了的ABC1.mdb,在打开时,选择“独占”方式。然后选取功能表中的“工具->安全->设置数据库密码”, 接着输入密码即可。这样即使他人得到了ABC1.mdb文件,没有密码也是无法看到ABC1.mdb的。最后,记得加密完要同步修改数据库连接文件哦!
一点小说明:由于Access数据库的加密机制相对简单,即使设置了密码,解密也很轻易。只要数据库被下载了,其信息安全依然是个未知数。所以,此法也不是最佳。
防范措施五:将数据库放在Root目录以外或将数据库连接文件放到其他虚拟目录下