三大措施設(shè)置數(shù)據(jù)庫安全 保障網(wǎng)站安全運營

申請免費試用、咨詢電話：400-8352-114

數(shù)據(jù)庫，網(wǎng)站運營的基礎(chǔ)，網(wǎng)站生存的要素，不管是個人用戶還是企業(yè)用戶都非常依賴網(wǎng)站數(shù)據(jù)庫的支持，然而很多別有用心的攻擊者也同樣非常“看重”網(wǎng)站數(shù)據(jù)庫。

對于個人網(wǎng)站來說，受到建站條件的制約，Access數(shù)據(jù)庫成了廣大個人網(wǎng)站站長的首選。然而，Access數(shù)據(jù)庫本身存在很多安全隱患，攻擊者一旦找到數(shù)據(jù)庫文件的存儲路徑和文件名，后綴名為“.mdb”的Access數(shù)據(jù)庫文件就會被下載，網(wǎng)站中的許多重要信息會被一覽無余，非常可怕。當然，大家采用了各種措施來加強Access數(shù)據(jù)庫文件的安全，但真的有效嗎?

存在漏洞的保護措施

流傳最為廣泛的一種Access數(shù)據(jù)庫文件保護措施，是將Access數(shù)據(jù)庫文件的后綴名由“.mdb”改為“.asp”，接著再修改數(shù)據(jù)庫連接文件(如conn.asp)中的數(shù)據(jù)庫地址內(nèi)容，這樣一來即使別人知道數(shù)據(jù)庫文件的文件名和存儲位置，也無法進行下載。

這是網(wǎng)上最流行的一種增強Access數(shù)據(jù)庫安全的方法，而且還有強大的“理論基礎(chǔ)”。

因為“.mdb”文件不會被IIS服務(wù)器處理，而是直接將內(nèi)容輸出到Web瀏覽器，而“.asp”文件則要經(jīng)過IIS服務(wù)器處理，Web瀏覽器顯示的是處理結(jié)果，并不是ASP文件的內(nèi)容。

但大家忽略了一個很重要的問題，這就是IIS服務(wù)器到底處理了ASP文檔中的哪些內(nèi)容。這里筆者提醒大家，只有ASP文件中“”標志符間的內(nèi)容才會被 IIS服務(wù)器處理，而其他內(nèi)容則直接輸出到用戶的Web瀏覽器。你的數(shù)據(jù)庫文件中包含這些特殊標志符嗎?即使有，Access也可能會對文檔中的“”標志符進行特殊處理，使之無效。因此后綴為“.asp”的數(shù)據(jù)庫文件同樣是不安全的，還是會被惡意下載。

面對蠱惑人心的理論，以及眾人的附和，筆者也開始相信此方法的有效性。但事實勝于雄辯，一次無意間的試驗，讓筆者徹底揭穿了這個謠言。

筆者首先將一個名為“cpcw.mdb”的數(shù)據(jù)庫文件改名為“cpcw.asp”，然后上傳到網(wǎng)站服務(wù)器中。運行flashGet，進入“添加新的下載任務(wù)”對話框，在“網(wǎng)址”欄中輸入“cpcw.asp”文件的存儲路徑，然后在“重命名”欄中輸入“cpcw.mdb”。進行下載后，筆者發(fā)現(xiàn)可以很順利地打開“cpcw.mdb”，而且它所存儲的信息也被一覽無余。這就充分說明了單純地將數(shù)據(jù)庫文件名的后綴“.mdb”改為“.asp”，還是存在安全隱患。