关于asp access的安全问题

关于 asp access 的安全问题 众所周知，asp access 最大的安全隐患在于 access 数据库可以被别人下载，而 现在提供的很多 asp 空间都是只支持 access 数据库，这样一来，asp access 的 安全问题就显得很突出了。 1.Access 数据库的存储隐患 在 ASP＋Access 应用系统中，如果获得或者猜到 Access 数据库的存储路径和数 据库名，则该数据库就可以被下载到本地。 2.Access 数据库的解密隐患 由于 Access 数据库的加密 机制 综治信访维稳工作机制反恐怖工作机制企业员工晋升机制公司员工晋升机制员工晋升机制图 非常简单，所以即使数据库设置了密码，解密也 很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行异或来形成一 个加密串，并将其存储在＊.mdb 文件中从地址“＆H42”开始的区域内。由于异 或操作的特点是“经过两次异或就恢复原值”，因此，用这一密钥与＊.mdb 文 件中的加密串进行第二次异或操作，就可以轻松地得到 Access 数据库的密码。 基于这种原理，可以很容易地编制出解密 程序。 由此可见，无论是否设置了数据库密码，只要数据库被下载，其信息就没有任何 安全性可言了。 3.程序 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 中的安全隐患 ASP 代码利用 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 单（form）实现与用户交互的功能，而相应的内容会反映在浏览 器的地址栏中，如果不采用适当的安全措施，只要记下这些内容，就可以绕过验 证直接进入某一页面。例如在浏览器中敲入“…… page.asp?x=1”，即可不经 过表单页面直接进入满足“x=1”条件的页面。因此，在设计验证或注册页面时， 必须采取特殊措施来避免此类问题的发生。 ========== 解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ========== 提高数据库的安全性 由于 Access 数据库加密机制过于简单，因此，如何有效地防止 Access 数据库被 下载,就成了提高 ASP＋Access 解决方案安全性的重中之重。 1.非常规命名法 防止数据库被找到的简便方法是为 Access 数据库文件起一个复杂的非常规名字， 并把它存放在多层目录下。例如，对于网上书店的数据库文件，不要简单地命名 为“book.mdb”或“store.mdb”，而是要起个非常规的名字，例如： faq19jhsvzbal.mdb，再把它放在如./akkjj16t/kjhgb661/acd/avccx55 之类的 深层目录下。这样，对于一些通过猜的方式得到 Access 数据库文件名的非法访 问方法起到了有效的阻止作用。 2.使用 ODBC 数据源 在 ASP 程序设计中，应尽量使用 ODBC 数据源，不要把数据库名直接写在程序中， 否则，数据库名将随 ASP 源代码的失密而一同失密。例如： DBPath = Server.MapPath(“./akkjj16t/ kjhgb661/acd/avccx55/faq19jhsvzbal.mdb ”) conn.Open “driver={Microsoft Access Driver (＊.mdb)};dbq=” ＆ DBPath 可见，即使数据库名字起得再怪异，隐藏的目录再深，ASP 源代码失密后，数据 库也很容易被下载下来。如果使用 ODBC 数据源，就不会存在这样的问题了： conn.open “ODBC－DSN 名” 对 ASP 页面进行加密 为有效地防止 ASP 源代码泄露，可以对 ASP 页面进行加密。一般有两种方法对 ASP 页面进行加密。一种是使用组件技术将编程逻辑封装入 DLL 之中； 另一种是使用微软的 Script Encoder 对 ASP 页面进行加密。但是，使用组件技 术存在的主要问题是每段代码均需组件化，操作比较烦琐，工作量较大；而使用 Script Encoder 对 ASP 页面进行加密，操作简单、收效良好。 Script Encoder 方法具有许多优点： ⑴.HTML 仍具有很好的可编辑性。Script Encoder 只加密在 HTML 页面中嵌入的 ASP 代码，其他部分仍保持不变，这就使得我们仍然可以使用 FrontPage 或 Dreamweaver 等常用网页编辑工具对 HTML 部分进行修改、完善，只是不能对 ASP 加密部分进行修改，否则将导致文件失效。 ⑵.操作简单。只要掌握几个命令行参数即可。Script Encoder 的运行 程序是 screnc.exe，其使用方法如下： screnc [/s] [/f] [/xl] [/l defLanguage ] [/e defExtension] inputfile outputfile 其中的参数含义如下： s：屏蔽屏幕输出； f：指定输出文件是否覆盖同名输入文件； xl：是否在.asp 文件的顶部添加@Language 指令； l：defLanguag 指定缺省的脚本语言； e：defExtension 指定待加密文件的扩展名。 ⑶.可以批量加密文件。使用 Script Encoder 可以对当前目录中的所有的 ASP 文 件进行加密，并把加密后的文件统一输出到相应的目录中。例如： screnc ＊.asp c:\temp ⑷. Script Encoder 是免费软件。该加密软件可以从微软网站下载： http://msdn.microsoft.com/scripting/vbscript/download/x86/sce10en.exe。 下载后，运行安装即可。 利用 Session 对象进行注册验证 为防止未经注册的用户绕过注册界面直接进入应用系统，可以采用 Session 对象 进行注册验证。Session 对象最大的优点是可以把某用户的信息保留下来，让后 续的网页读取。 3.改数据库扩展名 你也可以将数据库的扩展名改为.asp，当然在定位数据库的时候也要用类似 database.asp 的文件名，这样数据库不会被轻易的下载，而数据还可以正常的 读出写入。 4.向数据库内加错误的 asp 代码 如果以为做完第 3项以后就万事大吉了那就错了，虽然数据库的扩展名变成 了.asp，但是当对方猜到了你的数据库路径以后还是可以下载的，只不过慢了一 些，对方可以等页面完全打开以后“另存为”就可以了。要解决这个问题可以载 数据库内添加错误的 asp 代码。你可以先建立一个隐藏表，表内只有一列，并且 插入这样一行： 这样一来对方打开数据库的页面时就只会出现 asp 脚本的错误信息，而不会下载 你的数据库了。 5.对于程序设计中隐患的解决一例 大多数人都认为网站只要加了登录密码就无法正常进入了。而请您看下面的验证 语句： sql="select uname,pwd from uinfo where " sql=sql&"uname='"&request.form("uname")&"'" sql=sql&" and pwd='"&request.form("pwd")&"'" rs.open sql,conn,1,1 if rs.eof or rs.bof then response.write "对不起，错误的用户名/密码！" else response.write "登录成功！" end if 可能已经有读者看出来了这段代码是十分危险的，只要对方知道用户名就可以登 录，你可以在密码框里输入“' or '1'='1”就可以了，其原理很简单，就是利 用了 sql 查询语句，大家注意，用此方法提交以后的 sql 语句变成了：(如果用 户名为 administrator) select uname,pwd from uinfo where uname='administrator' and pwd='' or '1'='1' 如果用户名 administrator 存在的话那么这个记录是可以被选出来的，之后当然 就是可以正常登录了。 解决方案： sql="select uname,pwd from uinfo where " sql=sql&"uname='"&request.form("uname")&"'" rs.open sql,conn,1,1 if rs.eof or rs.bof then response.write "对不起，本站没有此用户！" else if rs.fields("pwd")=trim(request.form("pwd")) then response.write "登录成功！" else response.write "错误的用户名/密码！" end if end if 结束语：以上只是本人在实际编程中积累的一些经验，如有不足还望指正！