มีกฎความปลอดภัย 18 ข้อที่คุณต้องใส่ใจเมื่อใช้ฐานข้อมูล Access ภายใต้ ASP หากคุณใส่ใจกับประเด็นต่อไปนี้ โดยพื้นฐานแล้วฐานข้อมูล Access ของคุณจะไม่ถูกขโมยโดยผู้อื่นโดยง่าย 1. ก่อนอื่น เราต้องกรองเนื้อหาทั้งหมดที่ลูกค้าส่งเข้ามา รวมถึงหมวดหมู่ ?id=N ตลอดจนไวยากรณ์การดำเนินการไฟล์ select และ asp ในโค้ด html ที่ส่งมาเพื่อปฏิบัติการฐานข้อมูล คุณสามารถหลีกเลี่ยงได้ อักขระที่ส่งแล้วเก็บไว้ในฐานข้อมูล
2. จากนั้น คุณต้องอนุญาตเพจที่เข้าถึงฐานข้อมูล Access คุณสามารถใช้คำสั่ง Select สำหรับเพจข้อมูลที่แสดงและกรองการอัปเดตอื่นๆ ได้ ไฟล์ asp จะถูกแบ่งออกเป็นเพจฐานข้อมูลการเข้าถึงที่ได้รับอนุญาตและเพจการเข้าถึงแบบจำกัด
3. แก้ไขชื่อไฟล์การเชื่อมต่อข้อมูลฐานข้อมูล conn.asp เป็นไฟล์ที่คล้ายกับ 123ljuvo345l3kj34534v.asp
4. แก้ไขชื่อฐานข้อมูลให้คล้ายกับไฟล์ q397d0394pjsdlkfgjwetoiu.asp
5. เพิ่มรหัสผ่านการเชื่อมต่อไปยังฐานข้อมูล Access (แม้ว่าจะสามารถถอดรหัสได้ แต่ต้องจัดการกับมือใหม่ และป้องกันไม่ให้การอัปโหลดไฟล์เชื่อมต่อกับฐานข้อมูลอย่างไม่จำกัด)
6. ใช้ซอฟต์แวร์ Access เพื่อเข้ารหัสและเข้ารหัสฐานข้อมูล
7. ใช้อัลกอริธึมการเข้ารหัสเช่น md5 เพื่อเข้ารหัสฟิลด์เช่นรหัสผ่านผู้ใช้และคำถามพร้อมท์รหัสผ่าน
8. จำกัดเครื่องมือค้นหาเพื่อค้นหาหน้าที่เกี่ยวข้อง
9. ป้องกันไม่ให้เครื่องมือดาวน์โหลดดาวน์โหลดฐานข้อมูล เช่น การเพิ่มคำสั่งในฐานข้อมูลเพื่อป้องกันเอาต์พุตไปยังไคลเอนต์
10. ทำงานได้ดีในการจัดการความปลอดภัยของเทมเพลตไฟล์อัพโหลด ASP เพื่อป้องกันไม่ให้โทรจัน ASP ถูกอัพโหลด
11. ปฏิเสธไม่ให้ไคลเอ็นต์เข้าถึงไฟล์การเชื่อมต่อคลังข้อมูล และอนุญาตการเข้าถึงไฟล์ ASP ของเซิร์ฟเวอร์เท่านั้น
12. จำกัดจำนวนครั้งที่ IP ไคลเอนต์เดียวกันเข้าถึงฐานข้อมูล
13. หากจำเป็นต้องเข้ารหัสเนื้อหาที่เก็บไว้ในฐานข้อมูลและส่งคืนไปยังไคลเอนต์เพื่อถอดรหัส แม้ว่าจะดาวน์โหลดฐานข้อมูลแล้วก็ตาม ก็เป็นไปไม่ได้ที่จะได้รับเนื้อหาที่เข้ารหัสดั้งเดิมอย่างง่ายดาย
14. จำกัดเนื้อหาส่วนหัวของบริการการเชื่อมต่อ เช่น อนุญาตการเข้าถึง IE เท่านั้น
15. เพื่อป้องกันไม่ให้ได้รับข้อมูลฐานข้อมูลผ่านการดูไฟล์ ลูกค้าสามารถใช้เพื่อป้อนรหัสผ่าน และรหัสผ่านและเนื้อหาจะถูกเก็บไว้ในฐานข้อมูลโดยใช้อัลกอริธึมบางอย่าง เมื่อส่งออก ลูกค้าจะถูกขอให้ป้อนรหัสผ่าน ถอดรหัสเนื้อหา
16. คุณสามารถเปลี่ยนชื่อตารางและชื่อฟิลด์เป็นอักขระที่คล้ายกับ aslkejrwoieru, werkuwoeiruwe
17. ป้องกันการเพิ่มข้อมูลในฐานข้อมูลที่ทำให้ข้อมูลถูกเปลี่ยนชื่อเป็น .asp, รหัส Escape ฯลฯ ที่อาจทำให้เกิดข้อผิดพลาดในการดำเนินการ asp
18. สิ่งสุดท้ายที่ควรทราบคือ วิธีที่ดีที่สุดคือใช้ odbc เพื่อเชื่อมต่อกับฐานข้อมูลและเพิ่มรหัสผ่านการเชื่อมต่อ
19. วิธีการที่ได้รับจาก Script Home คือโฮสต์เสมือนทั่วไปจะจัดเตรียมไดเร็กทอรีข้อมูลและวางฐานข้อมูล .mdb ไว้ในไดเร็กทอรีนี้ จึงไม่สามารถดาวน์โหลดได้ หากเป็นเซิร์ฟเวอร์แยกต่างหาก ให้เพิ่มไฟล์ .mdb เพื่อการวิเคราะห์ และใช้ไฟล์ dll เปล่าไฟล์ใหม่สำหรับการวิเคราะห์