ハッカーを防ぐことをより良く達成する方法、私は自分の意見に言及しました！まず、無料のプログラムは無料です。元のコードを共有できるため、攻撃者はコードを分析することもできます。詳細に注意を払うと、サイトのセキュリティが大幅に改善されます。 SQLインジェクションなどの脆弱性がある場合でも、攻撃者はすぐにサイトを取得できません。

ASPの便利さと簡単な使用により、ますます多くのWebサイトバックグラウンドプログラムがASPスクリプト言語を使用しています。ただし、ASP自体にはセキュリティの脆弱性があるため、少し偶発的にはハッカーに機会を提供します。実際、セキュリティはネットワーク管理の問題であるだけでなく、プログラマーも優れたセキュリティ習慣を開発するためにいくつかのセキュリティの詳細に注意を払う必要があります。さもなければ、彼らは彼らのウェブサイトに大きなセキュリティリスクをもたらします。現在、ほとんどのWebサイトのASPプログラムのほとんどはこのようなセキュリティの脆弱性を持っていますが、プログラムに注意を払うと、それを回避できます。

1.ユーザー名とパスワードが割れています

攻撃原則：ユーザー名とパスワードは、ハッカーに最も関心がある場合、結果が深刻です。

予防策：サーバー側にユーザ​​ー名とパスワードをカプセル化することができます。多数のユーザー名とパスワードは、1つの位置の非表示ファイルに記述できます。データベースとの接続を伴う場合、理想的な状態でストレージ手順の権限のみが実行されます。

2。検証がバイパスされます

攻撃の原則：今確認する必要があるASPプログラムのほとんどは、ページヘッドに判断ステートメントが追加されますが、これで十分ではなく、ハッカーによる検証を直接バイパスしている可能性があります。

防衛スキル：前のページのファイル名を追跡するために、検証されたASPページが必要です。このページを読むことができます。

3。INCファイルリークの問題

攻撃原則：ASPのホームページが作成され、最終的なデバッグが完了すると、一部の検索エンジンがオブジェクトを検索するために追加できます。誰かがこの時点でこれらのWebページを見つけるために検索エンジンを使用している場合、関連するファイルの位置決めを取得し、ブラウザ内のデータベースの位置と構造の詳細を見つけて、完全なソースコードを明らかにすることができます。

予防策：プログラマーは、Webページのリリース前に完全にデバッグする必要があります。第一に、.incファイルのコンテンツが暗号化され、次に、ユーザーがブラウザからファイルのソースコードを直接視聴できないように、.incファイルの代わりに.aspファイルを使用することもできます。 INCファイルのファイル名は、ユーザーが簡単に推測できるデフォルトシステムまたは名前を使用しないでください。また、不規則な英語の文字を可能な限り使用してみてください。

4.自動バックアップがダウンロードされます

攻撃原則：ASPプログラムの一部のツールでは、ASPファイルを作成または変更するときに、エディターは次のようなバックアップファイルを自動的に作成します。編集者は、some.asp.bakファイルを自動的に生成します。このbakファイルを削除しない場合、攻撃者はsome.asp.bakファイルを直接ダウンロードできます。

注意事項：プログラムをアップロードする前に、不要なドキュメントを削除する前に慎重に確認してください。接尾辞としてBakのファイルに注意してください。

5。特殊文字

攻撃原則：入力ボックスは、ハッカーが使用する目標です。 。 全て。したがって、入力ボックスをフィルタリングする必要があります。ただし、クライアントのみの入力合法性の効率を向上させるためには、まだバイパスされる可能性があります。

防衛スキル：掲示板、BBS、その他の入力ボックスなどのASPプログラムでは、HTML、JavaScript、およびVBScriptステートメントがない場合は、入力文字と数字を制限することができます。 。同時に、入力文字の長さは限られています。さらに、クライアントで実行するだけでなく、サーバープログラムで同様の検査を実行する必要があります。

6.データベースのダウンロード脆弱性

攻撃原則：アクセスをバックグラウンドデータベースとして使用する場合、誰もがさまざまな方法でサーバーのアクセスデータベースのパスとデータベース名を知っているか推測する場合、このアクセスデータベースファイルをダウンロードすることもできます。これは非常に危険です。

防衛スキル：

（1）データベースファイルの複雑な型破りな名前を取得し、いくつかのレイヤーのディレクトリに入れます。たとえば、たとえば、本に関する情報を保存するデータベースがある場合、本の名前ではなく、d34ksfslf.mdbなどの奇妙な名前を付けて、それを取得し、その中に置かれます。 ./kdslf/i44/studi/のレイヤーが少ないため、ハッカーは推測方法を使用してアクセスデータベースファイルを取得したいと考えています。

（2）プログラムにデータベース名を記述しないでください。プログラムでDSNを書くのが好きな人もいます。

dbpath = server.mappath（cmddb.mdb）

conn.open driver = {microsoftアクセスドライバー（*.mdb）};

ソースプログラムを取得すると、アクセスデータベースの名前が一目で表示されます。したがって、ODBCにデータソースを設定してからプログラムに書き込むことをお勧めします。

conn.openshujiyuan

（3）アクセスを使用して、データベースファイルをエンコードおよび暗号化します。まず、ツール→セキュリティ→[暗号化/復号化データベース]でデータベース（Employer.mdbなど）を選択し、[OK]を押してから、データベースの暗号化されたウィンドウを[暗号化したデータベース後も保存できます。 MDB。

上記のアクションは、データベースのパスワードを設定するのではなく、データベースファイルをエンコードすることであることに注意してください。

次に、最初にデータベースに暗号化されます。然后选取功能表的工具→安全→设置数据库密码，接着输入密码即可。このように、他の人がEmployer1.mdbファイルを取得したとしても、パスワードはなく、Employer1.mdbのコンテンツを表示できません。