现在很多网站都是因为数据库源地址被黑客通过某些黑客手段得到,导致数据库文件被黑客下载,面得到控制权,使网站被黑。所以我研究了一下IIS,想到了一个安全配置IIS使数据库防下载的办法。经过配置后,就算黑客得到了数据库的位置和数据库的文件名,黑客也没法通过任何的软件下载到你的数据库文件。使服务器的数据库处于安全地带!是不是很爽,其实也很简单的,只要你为数据库的文件设置一个重定向的URL就行了。
下面举一个例子来说吧,假设我现在要搞一个网站,域名为 netpk.com ,使用asp加access数据库交互式动态主页,数据库文件没有加密,只要黑客下载了数据库就能得到网站admin的控制权,网站首页文件名为 index.asp。
数据库文件的地址在conn.asp的文件里,假设我们的数据库名为netpk.mdb ,数据库文件在根目录net 的文件夹下,我们只要把 conn.asp 的文件设置下文件重定向URL就行了,如下图所示,我们先设置conn.asp 这个文件重定向URL http://www.pc235.com/
然后再设置根目录下net文件夹里的netpk.mdb的文件重定向就行了。很简单吧,如下图所示:
通过上面的安全配置,你的动态网站一样可以正常使用,但是黑客却没法下载你的数据库了,如果黑客知道了你的数据库位置,那么黑客用那些下载工具下载你的数据库文件netpk.mdb这个文件时,黑客下载下来的只会是http://netpk.com的首页文件,不能下载数据库文件了,因为数据库已经被设置了重定向,所有指向这个数据库的文件地址的连接都会被重定向连接到http://netpk.com的首页文件里。黑客下来的数据库文件将会是你的首页文件 index.asp 。
你现在可以放心地把你的数据库地址告诉别人了,看看还有没有人能正常下载你的数据库,呵呵!
注:由于本人要上班,时间有限,只是随便研究了一下,没有进行太多的数据库下载测试,但是理论上是不可能成功下载数据库的了。如果你在得到数据库地址后还有什么办法可以下载数据库,请与我联系交流技术,谢谢。
彻底防止ACCESS数据库文件被下载
来自:因特网
我们的目的:防止网站的ACCESS数据库文件被下载。
现行的办法:将数据库文件的扩展名改为.asp
缺陷:事实上即使你将扩展名改为.asp,数据库仍然可以被下载,因为这个文件里不含<%或%>等标签,所以IIS不对这个文件作任何处理,下载的数据库和原数据库完全一样!
解决方案:思路很简单,在这个文件中加入<%或%>,IIS就会按ASP语法来解析,然后就会报告500错误,自然不能下载了。
可是如果只是简单的在数据库的文本或者备注字段加入<%是没用的,因为ACCESS会对其中的内容进行处理,在数据库里他会以< %的形式存在,无效!
正确的方法是将<%存入OLE对象字段里,这样我们的目的就能达到了。
至于怎么往里加我就不废话了。如果你不会或者嫌麻烦,我已经做好了一个数据库,你下载回来后,在ACCESS中把里面那个表粘贴到你的数据库里,表名随便,然后别忘了将数据库的扩展名改成.asp,这样就ok了。其实写一个ASP页来做最方便,不过我比较懒,哈。谁空闲时间多就写一个吧。
这个数据库的下载地址:
http://www.***.net/***.mdb
http://www.***.com/huolx/***.mdb 注:上面的方法是我自己想出来的,如有雷同,实属巧合。不过我学ASP4个月了,相关的文章看得不少,还没看到有这个方法,所以写出来,希望对大家有点帮助。
数据库防下载经典方法
防止数据库被下载的几个方法
前言:很多动态站点大量应用了数据库,数据库理所当然成了一个站点的核心文件。一旦数据库被人下载,极有可能被恶意人士破坏网站。或者窃取资料。实在痛心啊。有什么方法可以防止数据库被人下载呢?
下面提供的的方法分别适用使用虚拟主机空间的用户和有IIS控制权的用户!
一:购买虚拟主机空间的,适合没有IIS控制权
1:发挥你的想象力 修改数据库文件名
这个是最基本的。我想现在也没有多少连数据库文件名都懒得改的人吧? 至于改成什么,你自己看着办,至少要保证文件名复杂,不可猜测性。当然这个时候你的数据库所在目录是不能开放目录浏览权限的!
2:数据库名后缀改为ASA、ASP等
这个听说很流行,不过我测试了好多次,发现并不理想,如果真正要起到防止下载的作用,要进行一些2进制字段添加等设置,---一句话,繁而复杂(如果你的数据库有很多的话,这个方法实在不是很好)
3:数据库名前加“#”
只需要把数据库文件前名加上#、然后修改数据库连接文件(如conn.asp)中的数据库地址。原理是下载的时候只能识别 #号前名的部分,对于后面的自动去掉,比如你要下载:http://www.pcdigest.com/date/#123.mdb(假设存在的话)。无论是IE还是FLASHGET等下到的都是http://www.pcdigest.com/date/index.htm(index.asp、default.jsp等你在IIS设置的首页文档)
另外在数据库文件名中保留一些空格也起到类似作用,由于HTTP协议对地址解析的特殊性,空格会被编码为%,如http://www.pcdigest.com/date/123 456.mdb,下载的时http://www.pcdigest.com/date/123%456.mdb。而我们的目录就根本没有123%456.mdb这个文件,所以下载也是无效的这样的修改后,即使你暴露了数据库地址,一般情况下别人也是无法下载!
4:加密数据库
用ACCESS将你的数据库以独占方式打开后,在工具-安全-设置数据库密码,加密后要修改数据库连接页, 如:
conn.open driver={microsoft access driver (*.mdb)};uid=admin;pwd=数据库密码;dbq=数据库路径
这样修改后,数据库即使被人下载了,别人也无法打开(前提是你的数据库连接页中的密码没有被泄露)
但值得注意的是,由于Access数据库的加密机制比较简单,即使设置了密码,解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串,并将其存储在*.mdb文件从地址“&H42”开始的区域内。所以一个好的程序员可以轻松制作一个几十行的小程序就可以轻松地获得任何Access数据库的密码。因此,只要数据库被下载,其信息安全依然是个未知数。
二:有主机控制权 (当然虚拟空间的设置在这里依然可以用)
5:数据库放在WEB目录外
如你的WEB目录是e:webroot,可以把数据库放到e:data这个文件夹里,在e:webroot里的数据库连接页中
修改数据库连接地址为:../data/数据库名 的形式,这样数据库可以正常调用,但是无法下载的,因为它不在WEB目录里!这个方法一般也不适合购买虚拟空间的用户。
6:使用ODBC数据源。
在ASP等程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,否则,数据库名将随ASP源代码的失密而一同失密,例如: DBPath = Server.MapPath(“../123/abc/asfadf.mdb ”)
conn.open “driver={Microsoft Access Driver (*.mdb)};dbq=”& DBPath
可见,即使数据库名字起得再怪异,隐藏的目录再深,ASP源代码失密后,也很容易被下载下来。如果使用ODBC数据源,就不会存在这样的问题了: conn.open “ODBC-DSN名” ,不过这样是比较烦的,目录移动的话又要重新设置数据源了,更方便的方法请看第7,8法!
7:添加数据库名的如MDB的扩展映射
这个方法就是通过修改IIS设置来实现,适合有IIS控制权的朋友,不适合购买虚拟主机用户(除非管理员已经设置了)。这个方法我认为是目前最好的。只要修改一处,整个站点的数据库都可以防止被下载。无须修改代码即使暴露目标地址也可以防止下载,如图1、2设置:
此主题相关图片如下: 
我们在 IIS属性---主目录---配置---映射---应用程序扩展那里添加.mdb文件的应用解析。注意这里的选择的DLL(或EXE等)似乎也不是任意的,选择不当,这个MDB文件还是可以被下载的, 注意最好不要选择选择asp.dll等。你可以自己多测试下
这样修改后下载数据库如:http://192.168.1.5/HaoBbs/data/dvbbs6.mdb。就出现(404或500等错误)
8:使用.net的优越性
动网的木鸟就写过一个防非法下载文件的“WBAL 防盗链工具”。具体可以登陆http://www.9seek.com/WBAL/
不过 那个只实现了防止非本地下载的 ,没有起到真正的防下载数据库的功能。不过这个方法已经跟5法差不多
可以通过修改.NET文件,实现本地也不能下载!
这几个方法中,只有第7和8个是统一性改的,一次修改配置后,整个站点的数据库都可以防止下载,其他几个就要分别修改数据库名和连接文件,比较麻烦,不过对于虚拟主机的朋友也只能这样了!
其实第6个方法应该是第5个方法的扩展,可以实现特殊的功能,但对于不支持.net的主机或者怕设置麻烦的话,还是直接用第5个方法了,而且默认情况下第6个方法,依然可以通过复制连接到同主机的论坛或留言本发表,然后就可以点击下载了(因为这样的引用页是来自同主机的)
这几个方法各有长短,请自己选择性地使用。这些方法也不是绝对的安全,还需要网站管理员平时注意一些系统的安全,以及写ASP/ASP.NET/JSP代码本身的安全 ,否则依然是有可能被人下载或者修改数据库的!
