关键字:ACCESS,数据库下载,IIS安全
http://blog.csdn.net/qunluo/archive/2004/07/17/44092.aspx(google暴露数据库地址文章地址)
这个问题,我老早以前就知道的安全问题了,不知道是我的运气好还是水平太臭,我的程序一直没有人光顾过,至少我的数据库只是我在自己的网上测试过,在某些情况下ACCESS的数据库还是可以下载,当然这个服务器管理员水平问题有一定关系。至于有人说将数据库名称写得尽量古怪一些,我是不敢相信你能够想到的究竟能够有多复杂。当然如果你的程序除了你自己看过外,别人没见过,那还是可以起到一定作用。当然这个时候你的数据库所在目录是不能开放目录浏览权限的!
后来知道了改数据库为ASP后缀或者是ASA之类可以避免类似问题。但是这还是得配合服务器端配置才可以起到一定作用,到现在我也不知道这不是真的是 经过事实验证的了。不得而知!但是网上搜索看看,肯定第一条就是这样说的:“数据库扩展名称改为ASP后缀”!呵!呵!真这样做了就安全了么?只能够说不一定,为什么,因为这个文件里不含等标签,所以IIS不对这个文件作任何处理,下载的数据库和原数据库完全一样! 还是和服务器配置有关系了!
所以另外一方面,还知道可以在ACCESS里加上包含“<%"符号的OLE字段信息,可以防止下载。也是不知道是否就是那样所说的安全了呢?但是至少在地址栏打上数据库地址,的确是乱码显示用点击下载该数据库是无法下载了。我在自己的机器上和服务器上(虚拟主机空间上)经过验证证实这点。
但是还有个问题值得提出来说一下,用flashget之类工具来下载呢?还听说数据库名称加#这样的符号可以防止下载,也是可以的,理基当然是于锚点。下载的时候只能识别#号前名的部分,对于后面的自动去掉,自动认为访问地址串结束。比如你要下载:http://www.mysite.com/date/#123.mdb(假设存在的话)。无论是IE还是FLASHGET还是蚂蚁等下到的都是http://www.mysite.com/date/index.htm(index.asp、default.jsp等你在IIS设置的首页文档)
结合上面的符号问题,另外在数据库文件名中保留一些空格也起到类似作用,由于HTTP协议对地址解析的特殊性,空格会被编码为"%",如http://www.mysite.com/date/123 ;456.mdb,下载的时http://www.mysite.com/date/123%456.mdb。而我们的目录就根本没有123%456.mdb这个文件,所以下载也是无效的这样的修改后,即使你暴露了数据库地址,一般情况下别人也是无法下载!
还有一点,安全做法就是使用DSN配置你的数据库,将数据库放置在非c:\inetpub\wwwroot\myasp目录外。然后在数据库驱动连接里,使用DSN方式连接。呵!问题是除非是自己的服务器,否则。那个公司给你在他们自己的服务器上替你做这样的配置呢?(为什么?如果你改了自己WEB程序的数据库内容需要重新上传,然后一次次骚扰工作人员为你做不同的配置。比如更改该数据库摆放的位置,你就得让人家给你另外配置你的数据库DSN了!对于很多做个人网站的人而言。也算是不可行的做法,尽管算是安全了。(而且这种做法多少是要牺牲一些数据库效率和性能为代价,微软站上我记得好像都不推荐这样做(使用DSN连接)
对了,有部分人(刚接触计算机和WEB开发)还会认为给数据库设置密码应该就安全了。conn.open"driver={microsoftaccessdriver(*.mdb)};uid=admin;pwd=数据库密码;dbq=数据库路径"这样修改后,数据库即使被人下载了,别人也无法打开(前提是你的数据库连接页中的密码没有被泄露)但值得注意的是,由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串,并将其存储在*.mdb文件从地址“&H42”开始的区域内。所以一个好的程序员可以轻松制作一个几十行的小程序就可以轻松地获得任何Access数据库的密码。因此,只要数据库被下载,其信息安全依然是个未知数。而且现在网上这样的软件多得很,已经不是什么秘密了!
暴露数据库连接地址的问题,我现在想起来,可以保存在Global.asa 这个很少有人注意到的文件里!以后在适当的位置触发使用!我是没这样使用过,也是听其他网上的朋友说起来。也不知道是否可行!就程序而言结合Adodb.Stream 使用,在IE地址栏防止下载也是可以做到的,过几天放上这个东西。
还知道在是不是做到以上几点就已经是非常安全了,我是持疑问的!当然我指的不是黑客黑了服务器的可能,如果都这样了,服务器就是人家手里的机器,那还用多说什么。呵!!看来,我们的服务器网络管理员的工作在一定程度上来说,还是决定了我们程序是否有市场的关键,呵!!
****************************
注:非ACCESS数据库不在本文讨论范围之内!
分享到:
相关推荐
先设问一下,其实同学在学这门课程之前,他们已经学了其它课程了,对于变是他们已经很不陌生了,现在旧话重提了,那么变量是什么呢?变量好比只能放一个物体的抽屉,放了第二个物体就必须把第一个先拿出来。那么尤其...
在日常的工作和学习中,你是否常常为处理复杂的数据、生成高质量的文本或者进行精准的图像识别而烦恼?DeepSeek 或许就是你一直在寻找的解决方案!它以其高效、智能的特点,在各个行业都展现出了巨大的应用价值。然而,想要充分发挥 DeepSeek 的优势,掌握从入门到精通的知识和技能至关重要。本文将从实际应用的角度出发,为你详细介绍 DeepSeek 的基本原理、操作方法以及高级技巧。通过系统的学习,你将能够轻松地运用 DeepSeek 解决实际问题,提升工作效率和质量,让自己在职场和学术领域脱颖而出。现在,就让我们一起开启这场实用又高效的学习之旅吧!
前端分析-2023071100789
基于kinect的3D人体建模C++完整代码.cpp
搞机工具箱10.1.0.7z
GRU+informer时间序列预测(Python完整源码和数据),python代码,pytorch架构,适合各种时间序列直接预测。 适合小白,注释清楚,都能看懂。功能如下: 代码基于数据集划分为训练集测试集。 1.多变量输入,单变量输出/可改多输出 2.多时间步预测,单时间步预测 3.评价指标:R方 RMSE MAE MAPE,对比图 4.数据从excel/csv文件中读取,直接替换即可。 5.结果保存到文本中,可以后续处理。 代码带数据,注释清晰,直接一键运行即可,适合新手小白。
在日常的工作和学习中,你是否常常为处理复杂的数据、生成高质量的文本或者进行精准的图像识别而烦恼?DeepSeek 或许就是你一直在寻找的解决方案!它以其高效、智能的特点,在各个行业都展现出了巨大的应用价值。然而,想要充分发挥 DeepSeek 的优势,掌握从入门到精通的知识和技能至关重要。本文将从实际应用的角度出发,为你详细介绍 DeepSeek 的基本原理、操作方法以及高级技巧。通过系统的学习,你将能够轻松地运用 DeepSeek 解决实际问题,提升工作效率和质量,让自己在职场和学术领域脱颖而出。现在,就让我们一起开启这场实用又高效的学习之旅吧!
基于ANSYS LSDyna的DEM-SPH-FEM耦合模拟滑坡入水动态行为研究,基于ANSYS LSDyna的DEM-SPH-FEM耦合的滑坡入水模拟分析研究,基于ansys lsdyna的滑坡入水模拟dem-sph-fem耦合 ,基于ANSYS LSDyna; 滑坡入水模拟; DEM-SPH-FEM 耦合,基于DEM-SPH-FEM耦合的ANSYS LSDyna滑坡入水模拟
auto_gptq-0.6.0-cp311-cp311-manylinux_2_17_x86_64.manylinux2014_x86_64.whl
复件 复件 建设工程可行性研究合同[示范文本].doc
13考试真题最近的t64.txt
好用我已经解决报错问题
# 踏入C语言的奇妙编程世界 在编程的广阔宇宙中,C语言宛如一颗璀璨恒星,以其独特魅力与强大功能,始终占据着不可替代的地位。无论你是编程小白,还是有一定基础想进一步提升的开发者,C语言都值得深入探索。 C语言的高效性与可移植性令人瞩目。它能直接操控硬件,执行速度快,是系统软件、嵌入式开发的首选。同时,代码可在不同操作系统和硬件平台间轻松移植,极大节省开发成本。 学习C语言,能让你深入理解计算机底层原理,培养逻辑思维和问题解决能力。掌握C语言后,再学习其他编程语言也会事半功倍。 现在,让我们一起开启C语言学习之旅。这里有丰富教程、实用案例、详细代码解析,助你逐步掌握C语言核心知识和编程技巧。别再犹豫,加入我们,在C语言的海洋中尽情遨游,挖掘无限可能,为未来的编程之路打下坚实基础!
auto_gptq-0.4.2-cp38-cp38-win_amd64.whl
自动立体库设计方案.pptx
# 踏入C语言的奇妙编程世界 在编程的广阔宇宙中,C语言宛如一颗璀璨恒星,以其独特魅力与强大功能,始终占据着不可替代的地位。无论你是编程小白,还是有一定基础想进一步提升的开发者,C语言都值得深入探索。 C语言的高效性与可移植性令人瞩目。它能直接操控硬件,执行速度快,是系统软件、嵌入式开发的首选。同时,代码可在不同操作系统和硬件平台间轻松移植,极大节省开发成本。 学习C语言,能让你深入理解计算机底层原理,培养逻辑思维和问题解决能力。掌握C语言后,再学习其他编程语言也会事半功倍。 现在,让我们一起开启C语言学习之旅。这里有丰富教程、实用案例、详细代码解析,助你逐步掌握C语言核心知识和编程技巧。别再犹豫,加入我们,在C语言的海洋中尽情遨游,挖掘无限可能,为未来的编程之路打下坚实基础!
在日常的工作和学习中,你是否常常为处理复杂的数据、生成高质量的文本或者进行精准的图像识别而烦恼?DeepSeek 或许就是你一直在寻找的解决方案!它以其高效、智能的特点,在各个行业都展现出了巨大的应用价值。然而,想要充分发挥 DeepSeek 的优势,掌握从入门到精通的知识和技能至关重要。本文将从实际应用的角度出发,为你详细介绍 DeepSeek 的基本原理、操作方法以及高级技巧。通过系统的学习,你将能够轻松地运用 DeepSeek 解决实际问题,提升工作效率和质量,让自己在职场和学术领域脱颖而出。现在,就让我们一起开启这场实用又高效的学习之旅吧!
在日常的工作和学习中,你是否常常为处理复杂的数据、生成高质量的文本或者进行精准的图像识别而烦恼?DeepSeek 或许就是你一直在寻找的解决方案!它以其高效、智能的特点,在各个行业都展现出了巨大的应用价值。然而,想要充分发挥 DeepSeek 的优势,掌握从入门到精通的知识和技能至关重要。本文将从实际应用的角度出发,为你详细介绍 DeepSeek 的基本原理、操作方法以及高级技巧。通过系统的学习,你将能够轻松地运用 DeepSeek 解决实际问题,提升工作效率和质量,让自己在职场和学术领域脱颖而出。现在,就让我们一起开启这场实用又高效的学习之旅吧!
# 踏入C语言的奇妙编程世界 在编程的广阔宇宙中,C语言宛如一颗璀璨恒星,以其独特魅力与强大功能,始终占据着不可替代的地位。无论你是编程小白,还是有一定基础想进一步提升的开发者,C语言都值得深入探索。 C语言的高效性与可移植性令人瞩目。它能直接操控硬件,执行速度快,是系统软件、嵌入式开发的首选。同时,代码可在不同操作系统和硬件平台间轻松移植,极大节省开发成本。 学习C语言,能让你深入理解计算机底层原理,培养逻辑思维和问题解决能力。掌握C语言后,再学习其他编程语言也会事半功倍。 现在,让我们一起开启C语言学习之旅。这里有丰富教程、实用案例、详细代码解析,助你逐步掌握C语言核心知识和编程技巧。别再犹豫,加入我们,在C语言的海洋中尽情遨游,挖掘无限可能,为未来的编程之路打下坚实基础!
用deepseek变现实操流程,小白必看。