导读:随着计算机技术的突发猛进,数据库应运而生,成为了现代社会的主流,可以说,没有哪一个企业的发展能离开数据库,所以把数据库运用好就是财富,下面就为大家介绍财富,愿大家财富滚滚来。
我们提供的服务有:网站建设、做网站、微信公众号开发、网站优化、网站认证、达拉特ssl等。为1000多家企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务,是有科学管理、有技术的达拉特网站制作公司
小案例:昨天试验了一下,把data.mdb文件改名为data.asp文件后放在wwwroot目录里。然后在IE中输入data.asp路径后,发现IE显示一片空白,右键->察看源文件,跳出记事本,将内容另存为.mdb文件,用ACCESS打开,发现需要密码,也就是说至少文件头被破坏。
然后用Flashget试验下载data.asp文件,并另存为data.mdb文件,发现用ACCESS打开完好无损!!!看来,好一些编程人员在开发的时候都认为,改了mdb后缀为asp就能防下载的概念,是错的!后台数据库被下载对于一个asp+access的网站来说无疑是一场惨绝人寰的灾难。今天找了各方的文章,归纳一下有以下9种办法防止数据库被下载(欢迎补充):
1.发挥你的想象力 修改数据库文件名
不用说,这是最最偷懒的方法,但是若攻击者通过第三方途径获得了数据库的路径),就玩完了。比如说攻击者本来只能拿到list权,结果意外看到了数据库路径,就可以冠冕堂皇地把数据库下载回去研究了。另外,数据文件通常大小都比较大,起再隐蔽的文件名都瞒不了人。故保密性为最低。
2.数据库名后缀改为ASA、ASP等
此法须配合一些要进行一些设置,否则就会出现本文开头的那种情况
(1)二进制字段添加(此招我还没有炼成-_-+)。
(2)在这个文件中加入,IIS就会按ASP语法来解析,然后就会报告500错误,自然不能下载了。可是如果只是简单的在数据库的文本或者备注字段加入
3.数据库名前加“#”?
只需要把数据库文件前名加上#、然后修改数据库连接文件(如conn.asp)中的数据库地址。原理是下载的时候只能识别 #号前名的部分,对于后面的自动去掉,比如你要下载:http://www.pcdigest.com/date/#123.mdb(假设存在的话)。无论是IE还是FLASHGET等下到的都是http://www.test.com/date/index.htm(index.asp、default.jsp等你在IIS设置的首页文件)??
另外在数据库文件名中保留一些空格也起到类似作用,由于HTTP协议对地址解析的特别性,空格会被编码为"%",如http://www.test.com/date/123?;456.mdb,下载的时http://www.test.com/date/123 %456.mdb。而我们的目录就根本没有123%456.mdb这个文件,所以下载也是无效的这样的修改后,即使你暴露了数据库地址,一般情况下别人也是无法下载!? DL.bitsCN.com网管软件下载
4.加密数据库?
首先在选取"工具->安全->加密/解密数据库,选取数据库(如:employer.mdb),然后接确定,接着会出现数据库加密后另存为"的窗口,存为:employer1.mdb。接着employer.mdb就会被编码,然后存为employer1.mdb..要注意的是,以上的动作并不是对数据库设置密码,而只是对数据库文件加以编码,目的是为了防止他人使用别的工具来查看数据库文件的内容。?
? 接下来我们为数据库加密,首先以打开经过编码了的?employer1.mdb,在打开时,选择"独占"方式。然后选取功能表的"工具->安全->设置数据库密码", 接着输入密码即可。这样即使他人得到了employer1.mdb文件,没有密码他是无法看到 employer1.mdb的。??
DL.bitsCN.com网管软件下载
加密后要修改数据库连接页, 如:?
conn.open driver={microsoft access driver (*.mdb)};uid=admin;pwd=数据库密码;dbq=数据库路径"?
这样修改后,数据库即使被人下载了,别人也无法打开(前提是你的数据库连接页中的密码没有被泄露)?
但值得注意的是,由于Access数据库的加密机制比较简单,即使设置了密码,解密也非常容易。该数据库系统通过将用户输入的密码和某一固定密钥进行“异或”来形成一个加密串,并将其存储在*.mdb文件从地址“&H42”开始的区域内。所以一个好的程式员能轻松制作一个几十行的小程式就能轻松地获得所有Access数据库的密码。因此,只要数据库被下载,其信息安全依然是个未知数。??
中国网管论坛
5.数据库放在WEB目录外或将数据库连接文件放到其他虚拟目录下?
如你的WEB目录是e:\webroot,能把数据库放到e:\data这个目录里,在e:\webroot里的数据库连接页中修改数据库连接地址为:../data/数据库名的形式,这样数据库能正常调用,不过无法下载的,因为他不在WEB目录里!这个方法一般也不适合购买虚拟空间的用户。?
6.使用ODBC数据源。?
在ASP等程式设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程式中,否则,数据库名将随ASP原始码的失密而一同失密,例如: DBPath = Server.MapPath(“../123/abc/asfadf.mdb ”)?? 中国网管联盟
conn.open “driver={Microsoft Access Driver (*.mdb)};dbq=”& DBPath??
可见,即使数据库名字起得再怪异,隐藏的目录再深,ASP原始码失密后,也非常容易被下载下来。如果使用ODBC数据源,就不会存在这样的问题了: conn.open ODBC-DSN名不过这样是比较烦的,目录移动的话又要重新设置数据源了,更方便的方法请看第7,8法!?
7.添加数据库名的如MDB的扩展映射?
这个方法就是通过修改IIS设置来实现,适合有IIS控制权的朋友,不适合购买虚拟主机用户(除非管理员已设置了)。这个方法我认为是目前最佳的。只要修改一处,整个站点的数据库都能防止被下载。无须修改代码即使暴露目标地址也能防止下载。?
我们在IIS属性---主目录---设置---映射---应用程式扩展那里添加.mdb文件的应用解析。注意这里的选择的DLL(或EXE等)似乎也不是任意的,选择不当,这个MDB文件还是能被下载的,?注意最佳不要选择选择asp.dll等。你能自己多测试下?
bbs.bitsCN.com
这样修改后下载数据库如:http://www.test.com/data/dvbbs6.mdb。就出现(404或500等错误)??
8:使用.net的优越性?
动网的木鸟就写过一个防非法下载文件的“WBAL 防盗链工具”。具体能登陆http://www.9seek.com/WBAL/?;?
不过 那个只实现了防止非本地下载的 ,没有起到真正的防下载数据库的功能。不过这个方法已跟5法差不多能通过修改.NET文件,实现本地也不能下载!?
这几个方法中,只有第7和8个是统一性改的,一次修改设置后,整个站点的数据库都能防止下载,其他几个就要分别修改数据库名和连接文件,比较麻烦,不过对于虚拟主机的朋友也只能这样了!?
中国网管联盟
其实第6个方法应该是第5个方法的扩展,能实现特别的功能,但对于不支持.net的主机或怕设置麻烦的话,还是直接用第5个方法了,而且默认情况下第6个方法,依然能通过复制连接到同主机的论坛或留言本发表,然后就能点击下载了(因为这样的引用页是来自同主机的)?
9.利用NTFS分区的文件权限设置(by percyboy)?
? 我们已知道,ASP.NET 中使用 ADO.NET 访问数据库,通过 OleDb 的连接能访问 Access 数据库??我们非常常用的低端数据库之一。本文讨论了 ASP.NET 中可能看到的若干错误提示,从中看到 Access 2000 和 Access XP 创建的数据库文件,在访问出现错误时会出现不太相同的错误提示。希望对大家有所帮助。另一个要点是,希望通过此文,使大家对 ASP.NET 中 Access 数据库文件的 NTFS 权限设置有所新的认识。??
以上就是数据库防止下载的方法,保护好数据库,您还等什么,赶快将着九条付诸现实,让您的数据库平平安安。
分享标题:数据库暴库整理篇
本文URL:http://www.shufengxianlan.com/qtweb/news45/264845.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联