防止数据库被下载的几个方法
来源:中国网络传播网 作者:佚名
前言:很多动态站点大量应用了数据库,数据库理所当然成了一个站点的核心文件。一旦数据库被人下载,极有可能被恶意人士破坏网站,或者窃取资料。实在痛心啊。有什么方法可以防止数据库被人下载呢?
下面提供的的方法分别适用使用虚拟主机空间的用户和有IIS控制权的用户! 1:发挥你的想象力 修改数据库文件名 2:数据库名后缀改为ASA、ASP等 3:数据库名前加“#” 4:加密数据库 6:使用ODBC数据源。 7:添加数据库名的如MDB的扩展映射
一:购买虚拟主机空间的,适合没有IIS控制权
这个是最基本的。我想现在也没有多少连数据库文件名都懒得改的人吧? 至于改成什么,你自己看着办,至少要保证文件名复杂,不可猜测性。当然这个时候你的数据库所在目录是不能开放目录浏览权限的!
这个听说很流行,不过我测试了好多次,发现并不理想,如果真正要起到防止下载的作用,要进行一些2进制字段添加等设置,---一句话,繁而复杂(如果你的数据库有很多的话,这个方法实在不是很好)
只需要把数据库文件前名加上#、然后修改数据库连接文件(如conn.asp)中的数据库地址。原理是下载的时候只能识别 #号前名的部分,对于后面的自动去掉,比如你要下载:http://www.31.net.cn/date/#123.mdb(假设存在的话)。无论是IE还是FLASHGET等下到的都是http://www.31.net.cn/date/index.htm(index.asp、default.jsp等你在IIS设置的首页文档)
另外在数据库文件名中保留一些空格也起到类似作用,由于HTTP协议对地址解析的特殊性,空格会被编码为"%",如http://www.31.net.cn/date/123 ;456.mdb,下载的时http://www.31.net.cn/date/123E6.mdb。而我们的目录就根本没有123E6.mdb这个文件,所以下载也是无效的这样的修改后,即使你暴露了数据库地址,一般情况下别人也是无法下载!
用ACCESS将你的数据库以独占方式打开后,在工具-安全-设置数据库密码,加密后要修改数据库连接页, 如:conn.open "driver={microsoft access driver (*.mdb)};uid=admin;pwd=数据库密码;dbq=数据库路径"这样修改后,数据库即使被人下载了,别人也无法打开(前提是你的数据库连接页中的密码没有被泄露)但值得注意的是,由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串,并将其存储在*.mdb文件从地址“&H42”开始的区域内。所以一个好的程序员可以轻松制作一个几十行的小程序就可以轻松地获得任何Access数据库的密码。因此,只要数据库被下载,其信息安全依然是个未知数。
二:有主机控制权 (当然虚拟空间的设置在这里依然可以用)
5:数据库放在WEB目录外如你的WEB目录是e:\webroot,可以把数据库放到e:\data这个文件夹里,在e:\webroot里的数据库连接页中修改数据库连接地址为:"../data/数据库名" 的形式,这样数据库可以正常调用,但是无法下载的,因为它不在WEB目录里!这个方法一般也不适合购买虚拟空间的用户。
在ASP等程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密,例如: DBPath = Server.MapPath(“../123/abc/asfadf.mdb ”) conn.open “driver={Microsoft Access Driver (*.mdb)};dbq=”& DBPath 可见,即使数据库名字起得再怪异,隐藏的目录再深,ASP源代码失密后,也很容易被下载下来。如果使用ODBC数据源,就不会存在这样的问题了: conn.open “ODBC-DSN名” ,不过这样是比较烦的,目录移动的话又要重新设置数据源了,更方便的方法请看第7,8法!
这个方法就是通过修改IIS设置来实现,适合有IIS控制权的朋友,不适合购买虚拟主机用户(除非管理员已经设置了)。这个方法我认为是目前最好的。只要修改一处,整个站点的数据库都可以防止被下载。无须修改代码即使暴露目标地址也可以防止下载,如图1、2设置:
·上一篇文章:企业资产安全防护对外有余 对内防护尚待加强
·下一篇文章:研究发现92%网站程序可能遭到黑客攻击
转载请注明转载网址:
http://www.jmkt.cn/html/netaq/202803324.htm