今日,服务器租借小编将讲述:如何增强网站数据库Access文件安全。资料库,作为网站运作的基础,网站生存的因素,无论是个人用户还是企业用户,都十分依赖网站数据库的支持,然而许多别有用心的攻击者也同样十分“看重”网站数据库。
针对个人网站而言,受建站条件的限制,Access数据库成为广大个人网站站长的首选。但是,Access数据库本身有很多安全隐患,当攻击者发现数据库文件的存储路径和文件名、带有".mdb"后加上".mdb""的Access数据库文件时,网站中的许多重要信息一目了然。自然,每个人都采取了各种措施加强Access数据库文件的安全性,但是真的有效吗?
有缺陷的保护措施。
广为传播的Access数据库文件保护措施之一,把Access数据库文件的后缀名称从'.mdb'更改为.asp,然后修改数据库连接文件中的数据库地址内容(例如conn.asp),这样,即便其他人知道数据库文件的文件名和存储位置,也不能下载。
这种方式可以提高Access数据库的安全性,并且有着强大的“理论基础”。
由于IIS服务器不对“.mdb”文件进行处理,而是直接向Web浏览器输出内容,而".asp"文件则要通过IIS服务器进行处理,Web浏览器显示了处理结果,而ASP文件中没有包含任何ASP文件。
但是每个人都忽视了一个重要问题,那就是IIS服务器究竟在处理ASP文档中的什么。本文作者在此提醒大家,只有ASP文件中的“”标记符之间的内容由IIS服务器处理,其它内容直接输出到用户的Web浏览器。您是否在数据库文件中包括这些特殊标记符?即便是这样,Access可能还会特别处理文档中的'''标志符,使其失效。所以带有".asp"后缀的数据库文件也同样不安全,或者会被恶意下载。
作者先将名为“cpcw.mdb”的数据库文件重新命名为“cpcw.asp”,并上传到网站服务器。请运行flashGet,进入“添加新的下载任务”对话框,在Web地址栏输入“cpcw.asp”文件的存储路径,然后在“重命名”栏中输入“cpcw.mdb”。完成下载后,作者发现可以很流畅地打开“cpcw.mdb”,并且它所存储的信息也会一目了然。这样,仅仅把数据库文件名的后缀".mdb"改为".asp",就足以说明它是否存在安全隐患。
只有“安全”才是“安全”
没有什么是绝对的,所以提高Access数据库文件的安全性只是相对的。因为Access只能用来解决小数据库问题,它有许多先天不足,尤其是在安全方面。
我公司采用多种服务器租用方式,也只是相对地增强了Access数据库文件的安全性,并不能实现绝对安全性,毕竟先天不足问题无法解决。以下为考试365介绍的几种方法,虽然不能完全阻止其他人下载Access数据库文件,但是,Access数据库文件只要您对其进行了良好的使用。
资料库档案名称复杂。
要下载Access数据库文件,首先要知道它的存储路径和文件名。假如您将一个非常简单的数据库文件名修改得更复杂,那么这些“不怀好意”的人就会花更多的时间来猜测数据库文件名,这无形中增加了Access数据库的安全性。
许多ASP程序为用户提供方便,其数据库文件通常称为"data.mdb",从而极大地方便了有经验的攻击者。若要修改数据库文件名,其他人也不容易猜到,例如将"data.mdb"改为"1rtj0ma27xi.mdb",然后在数据库连接文件中修改相应的信息。因此,Access数据库相对安全。该方法适用于租赁Web空间的用户。
缺点:一旦你查看了conn.asp之类的数据库连接文件,再复杂的文件名也不会有任何帮助。
面临蛊惑人心的理论,以及众说纷纭,作者也开始相信这种方法的有效性。但是事实胜于雄辩,一次不经意的实验,让作者把这个谣言彻底地揭穿了。