8大措施帮你构筑Access安全防线

今天下午，低一度博客受到攻击了，出现了大约一个小时的访问异常。庆幸的是，这帮无耻歹徒没能成功获取我的Access数据库，而只是象征性地给我注入了一些东西。也不知道他们是怎样注入的！想想的确不容小视这帮混蛋！不过没关系，低一度的数据库目前足够安全。利用这个“机会”，我们就来谈一谈这个问题。

大家都知道，Asp程序使用得最多的数据库类型就是Access，如PJ-Blog、Z-Blog等。这是因为Access数据库简单小巧，直接上传到服务器上就可以用了。尽管简便，然而Access也有不足之处，其中比较伤脑筋的便是其安全性问题。大部分黑客攻击此类Asp站点，就是从获取Access数据库开始的。所以，怎样有效防范Access数据库被恶意下载，成了建站中首当其冲的话题。这里，低一度结合自己的经验、实例及一些网上搜罗来的资料，向大家介绍几种相对有效的防范措施，希望对大家会有帮助（当然，用不着最好）。

防范措施一：将数据库文件名命名得尽可能地复杂

这是最最偷懒的方法了！所以，这个法子的安全指数也并非最高。若攻击者通过第三方途径获得了数据库的路径，你就玩完了。比如说我本来只能拿到list权，结果意外看到了你的数据库路径，那我便可冠冕堂皇地把数据库下载回去研究了。另外，数据文件通常大小都比较大，取再隐蔽的文件名也瞒不了人。呵呵，所以此法我并不提倡。

防范措施二：修改数据库名后缀为Asa或Asp等格式

这一做法，安全指数相对第一种行为会高一些，但同样存在着隐患。它必须配合一些必要的设置进行，如：在数据库文件中加入<％或％>标签，这样，IIS才会按Asp语法来解析，然后报告500错误，使歹徒无法下载。可是，假如只是简单地在数据库的文本或备注字段中加入<％是起不到作用的，因为Access会对其中的内容进行处理，在数据库里它会以< ％的形式存在，无效哦！正确的方法应该是将<％存入OLE对象字段里，这样我们的防范目的才能达到。

操作方法如下： 先用notepad新建一个内容为“<％”的文本文件，然后随便取个名字存档。接着，用Access打开你的数据库文件，新建一个表，随便取个什么名字，然后在表中添加一个OLE对象的字段，并添加一条记录，插入之前建立的文本文件，要是操作正确，便可以看到一个新的名为“数据包”的记录。可以了！

防范措施三：在数据库名称前加上“#”等特殊符号

在数据库文件名之前加上“#”等特殊符号、然后修改数据库连接文件（如c_custom.asp）中的数据库地址，也可以起到不错的保护作用。原理是：当歹徒下载的时候，浏览器或下载工具将只能识别“#”符号前的部分地址，而对于“#”后面的名将自动去除。举个例子，假设你要下载：http://www.diyidu.cn/date/#123.mdb（如果存在的话），当你输入该地址回车，此时无论是Ie还是Flashget等，下载到的将都是http://www.diyidu.cn/date/index.htm（index.asp、default.jsp等你在IIS设置的首页文档）。

另外，在数据库文件名中保留一些空格也能起到类似作用，由于Http协议对地址解析的非凡性，空格会被编译为“％”，比如你要下载：http://www.diyidu.cn/date/123 456.mdb（123与456之间是个空格），当你输入该地址回车，此时你下载到的将是http://www.diyidu.cn/date/123％456.mdb。而我们的目录中，根本就没有123％456.mdb这个文件，所以下载也是无效的。经过这样的修改以后，即使你暴露了数据库地址，一般情况下别人也无法下载得到。所以，这项措施的安全指数较之前两法，有更高了一筹。

防范措施四：为你的Access数据库加密

选取“工具-》安全-》加密/解密数据库，选取数据库（如：ABC.mdb）”，然后按确定，接着会出现“数据库加密后另存为”的窗口，另存为：ABC1.mdb，接着原数据库ABC.mdb就会被编码，然后另存为ABC1.mdb。注意，以上动作并不是对数据库设置密码，而是对数据库文件加以编码，目的是为了防止他人使用查看工具来查阅数据库文件中的内容。接下来的操作是：首先打开经过编码了的ABC1.mdb，在打开时，选择“独占”方式。然后选取功能表中的“工具-》安全-》设置数据库密码”， 接着输入密码即可。这样即使他人得到了ABC1.mdb文件，没有密码也是无法看到ABC1.mdb的。最后，记得加密完要同步修改数据库连接文件哦！

一点小说明：由于Access数据库的加密机制相对简单，即使设置了密码，解密也很轻易。只要数据库被下载了，其信息安全依然是个未知数。所以，此法也不是最佳。