关键字:ACCESS,数据库下载,IIS安全
http://blog.csdn.net/qunluo/archive/2004/07/17/44092.aspx(google暴露数据库地址文章地址)
这个问题,我老早以前就知道的安全问题了,不知道是我的运气好还是水平太臭,我的程序一直没有人光顾过,至少我的数据库只是我在自己的网上测试过,在某些情况下ACCESS的数据库还是可以下载,当然这个服务器管理员水平问题有一定关系。至于有人说将数据库名称写得尽量古怪一些,我是不敢相信你能够想到的究竟能够有多复杂。当然如果你的程序除了你自己看过外,别人没见过,那还是可以起到一定作用。当然这个时候你的数据库所在目录是不能开放目录浏览权限的!
后来知道了改数据库为ASP后缀或者是ASA之类可以避免类似问题。但是这还是得配合服务器端配置才可以起到一定作用,到现在我也不知道这不是真的是 经过事实验证的了。不得而知!但是网上搜索看看,肯定第一条就是这样说的:“数据库扩展名称改为ASP后缀”!呵!呵!真这样做了就安全了么?只能够说不一定,为什么,因为这个文件里不含等标签,所以IIS不对这个文件作任何处理,下载的数据库和原数据库完全一样! 还是和服务器配置有关系了!
所以另外一方面,还知道可以在ACCESS里加上包含“<%"符号的OLE字段信息,可以防止下载。也是不知道是否就是那样所说的安全了呢?但是至少在地址栏打上数据库地址,的确是乱码显示用点击下载该数据库是无法下载了。我在自己的机器上和服务器上(虚拟主机空间上)经过验证证实这点。
但是还有个问题值得提出来说一下,用flashget之类工具来下载呢?还听说数据库名称加#这样的符号可以防止下载,也是可以的,理基当然是于锚点。下载的时候只能识别#号前名的部分,对于后面的自动去掉,自动认为访问地址串结束。比如你要下载:http://www.mysite.com/date/#123.mdb(假设存在的话)。无论是IE还是FLASHGET还是蚂蚁等下到的都是http://www.mysite.com/date/index.htm(index.asp、default.jsp等你在IIS设置的首页文档)
结合上面的符号问题,另外在数据库文件名中保留一些空格也起到类似作用,由于HTTP协议对地址解析的特殊性,空格会被编码为"%",如http://www.mysite.com/date/123 ;456.mdb,下载的时http://www.mysite.com/date/123%456.mdb。而我们的目录就根本没有123%456.mdb这个文件,所以下载也是无效的这样的修改后,即使你暴露了数据库地址,一般情况下别人也是无法下载!
还有一点,安全做法就是使用DSN配置你的数据库,将数据库放置在非c:\inetpub\wwwroot\myasp目录外。然后在数据库驱动连接里,使用DSN方式连接。呵!问题是除非是自己的服务器,否则。那个公司给你在他们自己的服务器上替你做这样的配置呢?(为什么?如果你改了自己WEB程序的数据库内容需要重新上传,然后一次次骚扰工作人员为你做不同的配置。比如更改该数据库摆放的位置,你就得让人家给你另外配置你的数据库DSN了!对于很多做个人网站的人而言。也算是不可行的做法,尽管算是安全了。(而且这种做法多少是要牺牲一些数据库效率和性能为代价,微软站上我记得好像都不推荐这样做(使用DSN连接)
对了,有部分人(刚接触计算机和WEB开发)还会认为给数据库设置密码应该就安全了。conn.open"driver={microsoftaccessdriver(*.mdb)};uid=admin;pwd=数据库密码;dbq=数据库路径"这样修改后,数据库即使被人下载了,别人也无法打开(前提是你的数据库连接页中的密码没有被泄露)但值得注意的是,由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串,并将其存储在*.mdb文件从地址“&H42”开始的区域内。所以一个好的程序员可以轻松制作一个几十行的小程序就可以轻松地获得任何Access数据库的密码。因此,只要数据库被下载,其信息安全依然是个未知数。而且现在网上这样的软件多得很,已经不是什么秘密了!
暴露数据库连接地址的问题,我现在想起来,可以保存在Global.asa 这个很少有人注意到的文件里!以后在适当的位置触发使用!我是没这样使用过,也是听其他网上的朋友说起来。也不知道是否可行!就程序而言结合Adodb.Stream 使用,在IE地址栏防止下载也是可以做到的,过几天放上这个东西。
还知道在是不是做到以上几点就已经是非常安全了,我是持疑问的!当然我指的不是黑客黑了服务器的可能,如果都这样了,服务器就是人家手里的机器,那还用多说什么。呵!!看来,我们的服务器网络管理员的工作在一定程度上来说,还是决定了我们程序是否有市场的关键,呵!!
****************************
注:非ACCESS数据库不在本文讨论范围之内!
分享到:
相关推荐
2024-2030全球及中国控制膨胀合金箔行业研究及十五五规划分析报告
通信历年真题选择题汇总1.(DOC).doc
电子通信设计资料电子万年历设计与制作论文资料提取方式是百度网盘分享地址
前台框架基于Bootstrap这一HTML5响应式框架,能够自适应不同终端设备的屏幕大小,为用户提供良好的浏览体验。开发环境兼容myEclipse、Eclipse、Idea等多种工具,配合mysql数据库,实现数据的存储与管理。后台则采用SSM(SpringMVC + Spring + Mybatis)框架,保证系统的稳定与高效运行。 系统主要包括会员信息管理、员工信息管理、设备信息管理以及退出模块。会员信息管理模块详细记录了会员的基本信息、健身目标、消费记录以及健身习惯等,同时设有会员投诉管理模块,用于收集和处理会员的意见与建议。员工信息管理模块则涵盖了员工的基本信息、工资发放情况等,帮助俱乐部进行人事管理。设备信息管理模块则负责建立器械档案,跟踪维修情况,并合理安排器械摆放位置,以延长器械使用寿命。 数据库设计方面,会员表记录了会员的各项基本信息,包括姓名、性别、职业等;部门表与员工表则分别用于记录俱乐部的组织机构和员工信息;会员消费表记录了会员的消费详情;员工工资表则用于记录员工的工资发放情况;留言表用于收集会员的留言及回复;设备类别表与设备表则详细记录了会所内器械的分类与具
2024-2030全球及中国超级殷钢 32-5行业研究及十五五规划分析报告
行业分析报告
linux环境不能上网,用这个文件可以实现nginx免安装
“按点击量排序-基于内容的课程推荐网站的设计与实现(SSM+html)”是一个基于内容推荐概念的在线学习平台,旨在为用户提供个性化的课程推荐体验。系统的核心功能包括用户注册登录、课程浏览搜索、个性化推荐和热门课程按点击量排序展示。在技术架构方面,该系统采用SSM框架作为后端开发技术,包括Spring、Spring MVC和MyBatis,用于处理业务逻辑和数据持久化。前端界面则采用HTML设计实现,展示课程信息和用户交互界面。这样的技术选择不仅提供了稳定的后端支持,还保证了良好的前端用户体验。通过SSM框架以及HTML的结合,该课程推荐网站在功能性和性能方面表现优异。SSM框架提供了高效的业务处理和数据交互,HTML则赋予网站美观友好的用户界面,使用户能够轻松使用课程推荐功能。热门课程的点击量排序功能提高了用户浏览体验,使用户更快速地找到感兴趣的课程,从而提升整体用户满意度和学习效率。
行业分析报告
1:场景一主要有两个功能,第一个是控制左边图片,第二个是让右边文字逐一显示。 2:场景二功能简单一点,只控制左边人物出现,紧接着是文字显示。 3:场景三功能控制图片弹跳显示,我用for循环控制弹跳距离。 4:场景四控制图片从顶部往下滑落,停留1秒然后滑向右侧直至消失。 5:场景五慢慢显现,可点击进入婚礼。 6:场景六显现停留1.6秒,然后以碎片的形式向外散开。 7:场景七祝福贴纸随机排布,并且可拖动祝福贴纸。 8:添加祝福语中,需填写祝福语,否则不让提交。可提交的祝福语便随机散布在祝福墙中,可实现随意拖动功能,
AI论文体系建设是指建立一个完善的AI领域的论文研究框架和体系,以促进学术交流和知识积累。这一体系包括但不限于以下几个方面: 1. **研究主题界定**:明确AI领域的研究主题和范围,包括机器学习、深度学习、自然语言处理、计算机视觉等方向。 2. **文献综述**:对AI领域相关研究文献进行综述和分类,总结研究现状和发展趋势,为后续研究提供参考。 3. **研究方法论**:探讨AI研究的方法论,包括实验设计、数据采集、模型构建等方面的方法和技巧。 4. **实验验证**:强调实验验证在AI研究中的重要性,提倡开放数据和代码,以促进研究结果的可复现性和可验证性。 5. **学术交流**:倡导学术交流和合作,包括参加学术会议、发表论文、组织研讨会等方式,促进学术成果的传播和交流。 6. **学术评价**:建立科学的学术评价体系,包括SCI、EI等学术期刊和会议的评价标准,以及学术成果的评价指标和方法。 通过建设完善的AI论文体系,可以促进AI领域的学术研究和技术创新,推动人工智能技术的发展和应用。
行业分析报告
围绕着医疗安全与医疗机构管理精细化目标,借鉴HIMSS评级标准、JCI评审、等级医院评审标准规范,基于统一的技术平台架构下的医教研人财物六位一体的信息化管理解决方案,实现医疗卫生机构医务、护理、人力资源、科研、教学、医患关系、设备与物资供应链等日常管理运营信息化。 利用移动互联网技术构建专业的分享服务平台,以为会员提供相关知识、专家在线服务、法律咨询服务,并为医生、医疗机构和健康管理会所提供宣传服务等众多增值服务。 4 大目标: 高效诊疗、智慧医疗、精细管理、信息便民; 1 卡通: 一张诊疗卡。 1 个平台: 一个医院信息集成平台; 6 大应用: 医疗管理、临床信息、运营管理、移动物联、医疗协作、对外服务。
本项目是基于PHP的轻量级MVC框架设计源码,包含56个文件,其中主要包含50个php源代码文件。系统采用了PHP编程语言,实现了基于PHP7+的轻量级MVC框架。该框架适用于博客系统、新闻管理系统、企业官网和Api系统等多种应用场景,是这些系统的最佳选择。项目结构清晰,代码可读性强,易于理解和维护。
本Matlab程序的主要功能是实现飞行器的侧向和纵向的机动,通过设计横向和纵向的控制指令实现。系统状态(微分方程)的解算提供了两种方式,龙格库塔法和欧拉法。 主程序main_cexiang:实现飞行器的侧向机动; 主程序main_zongxiang:实现飞行器的纵向机动。
基于ssm+vue学生学籍管理系统源码数据库文档.zip
mybatis-plus-generato.jar 包,各个版本,免费下载。 mybatis-plus 代码生成器生成代码框架。各个版本,免费下载。 下载不了,关注我,评论区联系我。
springboot+vue“智慧食堂”设计与实现 系统主要包括首页,个人中心,用户管理,菜品分类管理,菜品信息管理,留言板管理,系统管理,订单管理等功能。 项目关键技术 开发工具:IDEA 、Eclipse 编程语言: Java 数据库: MySQL5.7+ 框架:ssm、Springboot 前端:Vue、ElementUI 关键技术:springboot、SSM、vue、MYSQL、MAVEN 数据库工具:Navicat、SQLyog
基于ssm+vue孩童收养信息管理系统源码数据库文档.zip
本文深入探讨了概率论在时尚产业中的应用,分析了如何利用统计学原理来预测和引导时尚潮流。内容涵盖了数据收集、市场趋势分析、消费者行为研究以及如何通过概率模型来优化设计和营销策略。文章适合时尚产业的设计师、市场分析师、品牌经理以及对时尚趋势感兴趣的学者和学生。无论是在设计新款服饰、制定市场推广计划,还是在学术研究中,本文都能提供有价值的见解和方法。 关键词 时尚产业