存在漏洞的保護措施
流傳最為廣泛的一種access資料庫檔案保護措施,是將access資料庫檔案的後綴名由“.mdb”改為“.asp”,接著再修改資料庫連線檔案(如conn.asp)中的資料庫地址內容,這樣一來即使別人知道資料庫檔案的檔案名稱和存儲位置,也無法進行下載。
這是網上最流行的一種增強access資料庫安全的方法,而且還有強大的“理論基礎”。
因為“.mdb”檔案不會被iis伺服器處理,而是直接將內容輸出到web瀏覽器,而“.asp”檔案則要經過iis伺服器處理,web瀏覽器顯示的是處理結果,並不是asp檔案的內容。
但大家忽略了一個很重要的問題,這就是iis伺服器到底處理了asp文檔中的哪些內容。這裡筆者提醒大家,只有asp檔案中“”標誌符間的內容才會被iis伺服器處理,而其他內容則直接輸出到用戶的web瀏覽器。你的資料庫檔案中包含這些特殊標誌符嗎?即使有,access也可能會對文檔中的“”標誌符進行特殊處理,使之無效。因此後綴為“.asp”的資料庫檔案同樣是不安全的,還是會被惡意下載。
面對蠱惑人心的理論,以及眾人的附和,筆者也開始相信此方法的有效性。但事實勝於雄辯,一次無意間的試驗,讓筆者徹底揭穿了這個謠言。
筆者首先將一個名為“cpcw.mdb”的資料庫檔案改名為“cpcw.asp”,然後上傳到網站伺服器中。運行flashget,進入“添加新的下載任務”對話框,在“網址”欄中輸入“cpcw.asp”檔案的存儲路徑,然後在“重命名”欄中輸入“cpcw.mdb”。進行下載後,筆者發現可以很順利地打開“cpcw.mdb”,而且它所存儲的信息也被一覽無餘。這就充分說明了單純地將資料庫檔案名稱的後綴“.mdb”改為“.asp”,還是存在安全隱患。
沒有最“安全”,只有更“安全”
任何事情都不是絕對的,因此增強access資料庫檔案的安全也只是相對的。畢竟access只能用於小型資料庫的解決方案,它存在很多先天不足,特別是在安全方面。
我們所採用的各種方法,也只是相對來說增強了access資料庫檔案的安全,並不能實現絕對的安全,畢竟先天不足的問題是無法解決的。下面考試大為大家介紹一些方法,雖然不能完全防止別人下載access資料庫檔案,但只要你善用它們,access資料庫檔案就會更安全。
資料庫檔案名稱應複雜
要下載access資料庫檔案,首先必須知道該資料庫檔案的存儲路徑和檔案名稱。如果你將原本非常簡單的資料庫檔案名稱修改得更加複雜,這樣那些“不懷好意”者就要花費更多的時間去猜測資料庫檔案名稱,無形中增強了access資料庫的安全性。
很多asp程式為方便用戶使用,它的資料庫檔案通常都被命名為“data.mdb”,這大大方便了有經驗的攻擊者。如果我們將資料庫檔案名稱修改得複雜一些,他人就不易猜到,如將“data.mdb”修改為“1rtj0ma27xi.mdb”,然後修改資料庫連線檔案中的相應信息。這樣access資料庫就相對安全一些。此方法適合於那些租用web空間的用戶使用。
不足之處:一旦查看到資料庫連線檔案(如conn.asp)中的內容,再複雜的檔案名稱也無濟於事。