| 前言:很多动态站点大量应用了数据库,数据库理所当然成了一个站点的核心文件。一旦数据库被人下载,极有可能被恶意人士破坏网站。或者窃取资料。实在痛心啊。有什么方法可以防止数据库被人下载呢? 通常也是最基本的方法,许多ASP或者其他如PHP,网站的开发人员都尽量使自己的代码安全可*,不会泄露数据库地址,(有很多代码写的不安全数据库地址很容易暴露出来) 另外,有方法,将数据库文件的扩展名如***.mdb改为***.asp或者***.asa,据说可以防止下载,其实不然,我测试了很多次 如果一旦这样的数据库地址被暴露,同样可以下载的。只是下载后把他改为mdb文件就可以查看数据库了! 于是,又有高手给出方法,就是在数据库的字段中使用 ,这是根据ASP只认识的原理,因为加了这个asp.dll就会自动解析该文件,使之不会暴露原代码。同样我也简单的做过测试,可惜加入该标示还是可以下载! 那么如何在即使暴露了数据库地址的情况下使人无法下载。 仔细研究,发现我们同样可以根据ASP文件解析的原理,我们在 IIS属性---主目录---配置 映射---应用程序扩展那里注册.mdb文件的应用解析。 即随便找个.dLL文件解析MDB文件。。如图 此主题相关图片如下:  -------------------------------- 通过以上设置,是不能直接下在mdb文件的,如本站论坛里的一个数据库  http://www.53hao.com/data/sqfy.mdb可以被论坛正常调用,但是下载的时候只显示404错误。 (显示找不到该页或者该页目前不可用发说明) 综上:为了防止数据库,首先我们需要做到系统和IIS等WEB服务器本身的安全性足够强 在写ASP等代码方面也必须十分严谨,切勿因为代码本身漏洞泄露数据库地址,并且在加上以上设置,所以应该可以很好的防止数据库被下载了。当然不是绝对的安全。任何安全总会有漏洞的! |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-30 17:24 , Processed in 0.249470 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
