ASP下使用Access資料庫需要注意的18條安全法則,注意了下面地方,基本上您的access資料庫就不容易被別人盜取了。 1.首先,我們需要過濾所有客戶端提交的內容,其中包括?id=N一類,另外還有提交的html代碼中的操作數據庫的select及asp文件操作語法,大家可以把提交的字符轉義,然後再存入資料庫。
2.接著需要對存取Access資料庫的頁面進行授權,針對顯示資料頁面只能使用select語句,過濾其他的update,asp檔案則分為許可存取資料庫頁面和限制存取頁。
3.修改數庫據連線檔名conn.asp為類似123ljuvo345l3kj34534v.asp檔。
4.修改資料庫名稱為類似q397d0394pjsdlkfgjwetoiu.asp檔。
5.為Access資料庫加上連線密碼(雖然可以破解,對付菜鳥,和防止上傳檔案無限制連接資料庫)。
6.用Access軟體對資料庫進行編碼加密。
7.用md5等加密演算法加密使用者密碼,密碼提示問題一類的欄位。
8.限制搜尋引擎對相關頁面的搜尋。
9.防止資料庫被下載工具下載,如在資料庫裡加入等防止向客戶端輸出的語句。
10做好asp上傳檔案範本的安全管理,防止上傳asp木馬。
11.拒絕客戶端存取資料庫存連線檔案,只準伺服器asp檔案存取。
12.限制同一客戶端ip存取資料庫次數。
13.如果有必要對存入資料庫的內容進行加密,返回給客戶端進行解密,就算資料庫被下載了,也不可能輕易得到加密的原始內容。
14.對連線服務的頭內容進行限制,如只許可IE存取。
15.防止透過文件檢視方式,得到資料庫資訊,可用客戶端輸入密碼,對密碼和內容,用一定演算法存入資料庫,輸出時,讓客戶端輸入密碼,解密內容。
16.你可以把表名和字段名改為aslkejrwoieru,werkuwoeiruwe類似的字符。
17.防止在資料庫裡加入讓改名為.asp的資料執行,可轉義程式碼等讓asp執行出錯的內容。
18.最後要注意的是,最好用odbc連接資料庫,並且要加上連接的密碼。
19.腳本之家提供的方法,就是一般的虛擬主機都會提供一個data目錄,將.mdb資料庫放到這個目錄,這樣無論如何都是不能被下載的。如果是單獨的伺服器,那麼加上一個.mdb檔案的解析,用一個新建的空dll檔案解析。