网站运营
位置:首页>> 网站运营>> Access数据库防下载讨论

Access数据库防下载讨论

 来源:asp之家 发布时间:2008-04-18 12:49:00 

标签:下载,数据库,access

这个是我从无忧脚本论坛看到的,谈到了很多关于access数据库防下载的各种看法,整理了一下,大家可以看看,相信能解决access被下载的问题!

完整请看:http://bbs.51js.com/viewthread.php?tid=40361

楼主:lovega

给公司做网站,一般都用Access的数据库,但是安全是个问题,一直在找寻一种有效的防下载的方法。名字取复杂就不用说了哈,大家都知道。

5楼:长疯大侠

放到深层目录里、改数据库的后缀,mdb改成ASP,等等

12楼 :『水手』

同意MDB改ASP,可以做到防下载,同时保证数据库正常使用..小弟以前试过的..

14楼:小白

改为asp后缀后在你得数据库名字上加上一个#号!这样就不能被探测得!

15楼 :melop

小白的方法比较好。
比如,如果一个数据库的名称是 #abc, 那么试图下载:
http://localhost/db/#abc 的时候,iis会认为用户要请求/db/的默认页面,并且定位到锚“abc”,所以就下载不了了。

17楼:小白

转成URL编码还不一样的下. 

问题出在如果+了一个#号后你没有办法探测到数据库的asp名字,也就是说你没有办法找到这个数据库,所以你也就找不到url了!

就算找到的也是一个带有#号的url.#后面的将不被服务器解析的!

22楼 :welunzhu

常用的就是复杂的名字+。ASP来修改数据库名字。就可以啊 。被人下栽?ASP你怎么下。除非你搞破坏。把服务器砰拉。

以上给位之伟见。小弟收拉。谢谢!!!

23楼:fdipzone

1.数据库名前加#
2.数据库文件的后缀改为asp
3.在数据库的表中添加一个字段,类型为ole,打开,输入Response.Redirect "http://www.aspxhome.com"保存

这样就不可能下载

26楼:小强啊

呵呵,放在网站目录外面.用绝对路径连接 

27楼 :fdipzone

很简单,加#就是IE的描点,可以屏蔽后边的内容,但#的url码是%35
所以把#改为%35之后一样可以下载;改为.asp,服务器会调用asp.dll来解释,所以不能下载,只会在页面上显示数据库的内容,像用记事本打开一样,不过可以将页面的内容保存为*.mdb一样可以恢复为原来的数据库,因此就需用到OLE

在OLE中输入response.Redirect http://www.aspxhome.com  

他一输入数据库的地址就会自动转到别的网站,这样就不可能下载啦,哈哈

28楼 :ftb

在OLE中输入response.Redirect "http://www.aspxhome.com"
不需要输入这个,输入这个一样没用。其实是要加上<%%>符号,IIS就会按ASP语法来解析,然后就会报告500错误,自然不能下载了。

30楼:AK34

最安全的几个:
A. 放在网站目录以外
B. 设置成odbc
C. 设置数据库目录的访问权限
但如果你不是机主,很可能1和2,3都实现不了...
那么只有方法D:改名一途了吧~``
      对于改名什么的,如果不注意还是会......
请听我说:
      1. 方法:改复杂名字和目录;
          目的:防止猜测
          原理:减少猜中的几率
          后果:一旦被暴库...,数据库马上就Over了
      2. 方法:加特殊字符
          目的:防止被访问和下载
          原理:URL解析转换错误
          后果:如果将字符进行编码转换,仍然不可避免.
          PS:#的ASCII编码是35,但转换后应该是16进制的%23;
      3. 方法:直接改后缀为asp或asa;
          目的:防止下载
          原理:asp程序被服务器解析,不显示下载提示
          后果:但会返回给客户数据库的内容.保存下载就Over了嘛
          PS:方法3如果被人家插入了ASP代码,就变成一个backdoor了

      4. 方法:在3基础上,在数据库里面添加特殊数据.
          目的:防止下载与解释.
          原理:当服务器解析出错的时候,返回给客户的只是错误提示.
                 如何使出错,不用我教吧?提示一种:是将<%存入OLE对象字段里
          后果:大家基本上满意~```:)
       本来到这里可以结束了,但再提示一下:
       方法4:如果被人家插入了特殊构造的ASP代码,也可能变成一个door哦~``
                怎么变?嘿嘿,别问我

        怎么办?哎:将数据库的后缀改成 .config试试看吧~``
        如果能不被下载,那就比较OK的~``
        但有的IIS不行哦  :(

31楼:lijunsh_1973

 呵呵,方法挺多的

1.主要还是不能放开数据库所在的目录的权限。

2.改.mdb成.asp改名的第一个字母前加##至少两个以上,它用ASCII码试也不知道你有几个#号。

3.如果你的数据库里有好几个表,如果是一个表你增加OLE字段到关键的数据表可行,但是好多表就没必要了。

0
投稿

猜你喜欢

手机版 网站运营 asp之家 www.aspxhome.com