昨天和animator试验了一下,把data.mdb文件改名为data.asp文件后放在wwwroot目录里。然后在IE中输入data.asp路径后,发现IE显示一片空白,右键->察看源文件,跳出记事本,将内容另存为.mdb文件,用ACCESS打开,发现需要密码,也就是说至少文件头被破坏。
然后用Flashget试验下载data.asp文件,并另存为data.mdb文件,发现用ACCESS打开完好无损!!!看来,好一些编程人员在开发的时候都认为,改了mdb后缀为asp就能防下载的概念,是错的!后台数据库被下载对于一个asp+access的网站来说无疑是一场惨绝人寰的灾难。今天找了各方的文章,归纳一下有以下9种办法防止数据库被下载(欢迎补充):
1.发挥你的想象力 修改数据库文件名
不用说,这是最最偷懒的方法,但是若攻击者通过第三方途径获得了数据库的路径),就玩完了。比如说攻击者本来只能拿到list权,结果意外看到了数据库路径,就可以冠冕堂皇地把数据库下载回去研究了。另外,数据文件通常大小都比较大,起再隐蔽的文件名都瞒不了人。故保密性为最低。
2.数据库名后缀改为ASA、ASP等
此法须配合一些要进行一些设置,否则就会出现本文开头的那种情况
(1)二进制字段添加(具体的还不清除
asp access的安全:不要认为简单的改后缀mdb为asp就能防下载
原创文章如转载,请注明:转载自悠悠博客 [ http://www.ajaxstu.com/ ]
相关文章:
- asp在线压缩access数据库(2007-10-7 5:27:10)
- 数据库设计技巧(2007-10-2 7:10:52)
- Access 数据库表规格(2007-9-1 7:4:57)
- 保护Access数据库的安全(2007-6-13 7:43:49)
- 以编程方式创建“自动编号”字段并将其“新值”属性设置为“随机”(2007-6-11 10:52:33)
- 读取Access数据库表名实例(2007-5-22 1:10:0)
- 通用删除某表某字段满足条件的记录两个函数(2007-5-9 7:4:22)
- ACCESS技巧集(2007-2-20 10:0:38)
- WORD和ACCESS的数据交换(2007-2-11 1:46:30)
- 深入了解 Microsoft Access 安全性(2007-1-12 5:35:52)
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。