如何防止别人下载网站数据库文件.doc

资源描述

1、如何防止别人下载网站数据库文件如果你是网页制作爱好者，那你一定知道前段时间动网的数据库可以下载，这成了各个黑客的首选方式。如果数据库就被别人下载了，那像管理员密码等一些安全问题还有什么不是暴露无遗呢。有些朋友开始学做网页的时候也喜欢去改别人的网站，这也确实是个好办法，但是，没想到，一发到网上去就被人把数据库下载了，出现了安全问题。那如何防止数据库被别人下载呢，下面让我们来看几种简单的方法。 1对于 Access 数据库（1）将 Access 数据库加密。即使数据库被黑客通过某种途径下载了，如果我们的数据库有强大的密码，那他还是将不能干任何事情。对数据库加密的具体步骤是：打开 Ac

2、cess 程序，选择“ 开始”菜单里的“打开”，弹出“ 打开”对话框，在打开方式里面选择“ 以独占方式打开”（如下图所示），然后选择 “工具”菜单下的“ 安全” ，然后选择“设置数据库密码”，两次填入要设置的密码就可以了。（2）将数据库 database.mdb 改成 #database.mdb。这是最简单有效的办法。#在这里起到间断符的作用，让别人得到的数据库地址其实并不是实际的地址。比如得到这是因为地址串遇到#号，自动认为访问地址串结束。用这种方法，不管别人用何种工具都无法下载，如 flashget，网络蚂蚁等。 2对数据库文件进行修改（1）修改数据库名。这是常用的方法，将数

3、据库名改成怪异名字或长名字以防他人猜测。如果被猜到数据库名则还能下载该数据库文件，但机率不大。如：将数据库 database.mdb 改成 dsieijf8f#$%.mdb 这种名称。（2）修改数据库后缀名。数据库的后缀名可以是 database.asp、 database.asa、database.inc、database.cgi、database.dll 等这些形式，但是在 IIS 中设置这些后缀的文件不能被解析。（3）修改数据库文件的路径。将数据库连接文件放到其他虚拟目录下。其实，还有许多深奥的方法也可以增强数据库文件的安全性，介于难度性，这里就不介绍了。数据库文件的安全性也

4、不是可以通过修改数据库相关方面就可以完全解决问题的，网页的代码设计也是十分重要的。要真正做到数据库的高安全性，必须把数据库设计和网站程序设计结合起来，不仅从数据库方面加强安全，还要从程序设计上来努力。让攻击者不论从哪个方面都难以下手。 -转载于执著数据库在网站的核心，一切的 SQL 侵入都是冲着数据库来的。一旦网站的数据库被人下载那就算你的数据库是 MD5 加密，还是可以被人暴力破解出来。用户的资料丢失，是对自己也是对用户的一种伤害。那怎么样防止数据库被下载呢。下面是我从网上摘的一篇文章。 - - 防止数据库被下载的几个方法前言：很多动态站点大量应用了数据库，数据库理所当

5、然成了一个站点的核心文件。一旦数据库被人下载，极有可能被恶意人士破坏网站。或者窃取资料。实在痛心啊。有什么方法可以防止数据库被人下载呢？下面提供的的方法分别适用使用虚拟主机空间的用户和有 IIS 控制权的用户！一：购买虚拟主机空间的，适合没有 IIS 控制权 1：发挥你的想象力修改数据库文件名这个是最基本的。我想现在也没有多少连数据库文件名都懒得改的人吧？至于改成什么，你自己看着办，至少要保证文件名复杂，不可猜测性。当然这个时候你的数据库所在目录是不能开放目录浏览权限的！ 2：数据库名后缀改为 ASA、ASP 等这个听说很流行，不过我测试了好多次，发现并不理想，如果真

6、正要起到防止下载的作用，要进行一些 2 进制字段添加等设置，-一句话，繁而复杂（如果你的数据库有很多的话，这个方法实在不是很好） 3：数据库名前加“#” 只需要把数据库文件前名加上#、然后修改数据库连接文件（如 conn.a sp）中的数据库地址。原理是下载的时候只能识别 #号前名的部分，对于后面的自动去掉，比如你要下载： /#123.mdb(假设存在的话）。无论是 IE 还是 FLASHGET 等下到的都是 t.jsp 等你在 IIS 设置的首页文档 ) 另外在数据库文件名中保留一些空格也起到类似作用，由于 HTTP 协议对地址解析的特殊性，空格会被编码为“%“,如 456.m

7、db，下载的时 http: / 本没有 123%456.mdb 这个文件，所以下载也是无效的这样的修改后，即使你暴露了数据库地址，一般情况下别人也是无法下载！ 4：加密数据库用 ACCESS 将你的数据库以独占方式打开后，在工具-安全-设置数据库密码，加密后要修改数据库连接页，如： conn.open “driver=microsoft access driver (*.mdb);uid= admin;pwd=数据库密码;dbq=数据库路径“ 这样修改后，数据库即使被人下载了，别人也无法打开（前提是你的数据库连接页中的密码没有被泄露）但值得注意的是，由于 Access 数据库的加密

8、机制比较简单，即使设置了密码，解密也很容易。该数据库系统通过将用户输入的密码与某一固定密钥进行“异或”来形成一个加密串，并将其存储在*.mdb 文件从地址 “dbq =”& DBPath 可见，即使数据库名字起得再怪异，隐藏的目录再深，ASP 源代码失密后，也很容易被下载下来。如果使用 ODBC 数据源，就不会存在这样的问题了： conn.open “ODBC-DSN 名” ,不过这样是比较烦的，目录移动的话又要重新设置数据源了更方便的方法请看第 7，8 法！ 7：添加数据库名的如 MDB 的扩展映射这个方法就是通过修改 IIS 设置来实现，适合有 IIS 控制权的朋友，不

9、适合购买虚拟主机用户(除非管理员已经设置了）。这个方法我认为是目前最好的。只要修改一处，整个站点的数据库都可以防止被下载。无须修改代码即使暴露目标地址也可以防止下载，如图 1、2 设置：此主题相关图片如下：我们在 IIS 属性-主目录 -配置-映射-应用程序扩展那里添加. mdb 文件的应用解析。注意这里的选择的 DLL（或 EXE 等）似乎也不是任意的，选择不当，这个 MDB 文件还是可以被下载的，注意最好不要选择选择 asp.dll 等。你可以自己多测试下这样修改后下载数据库如：http:/192.168.1.5/HaoBbs/data/dv bbs6.mdb。就

10、出现（404 或 500 等错误） 8：使用.net 的优越性动网的木鸟就写过一个防非法下载文件的“WBAL 防盗链工具”。具体可以登陆不过那个只实现了防止非本地下载的，没有起到真正的防下载数据库的功能。不过这个方法已经跟 5 法差不多可以通过修改.NET 文件，实现本地也不能下载！这几个方法中，只有第 7 和 8 个是统一性改的，一次修改配置后，整个站点的数据库都可以防止下载，其他几个就要分别修改数据库名和连接文件，比较麻烦，不过对于虚拟主机的朋友也只能这样了！其实第 6 个方法应该是第 5 个方法的扩展，可以实现特殊的功能，但对于不支持.net 的主机或者怕设置

11、麻烦的话，还是直接用第 5 个方法了，而且默认情况下第 6 个方法，依然可以通过复制连接到同主机的论坛或留言本发表，然后就可以点击下载了（因为这样的引用页是来自同主机的）这几个方法各有长短，请自己选择性地使用。这些方法也不是绝对的安全，还需要网站管理员平时注意一些系统的安全，以及写 ASP/ASP.NET/JSP 代码本身的安全，否则依然是有可能被人下载或者修改数据库的！ - - 个人认为除了第 7 种方法可能会有用外，其他的都是狗屁。但第 7 种方法对购买虚拟主机空间的用户无效。那怎么样才能有效防止数据库被下载呢？第一种方法：数据库命名法。数据库名字写的再复杂，都可能

12、是没用的，因为数据库路径可能被暴露。一旦被人在地址栏用非法的一些字符暴露了数据库路径。你也就挂了。数据库后缀改为 asa,asp 或在前面在# 也都是不可行的，我试了，都是可以用网际快车下载的。所以我总结了我的经验，一般方法是这样的。修改数据库连接页 conn.asp，在里面打开连接的地方写上 on error resume next.此句是防止数据库暴库。然后数据库名字改为 global. asa，但不要放在网站的根目录。这样你的数据库就不会被非法下载了。第二种方法：ASP 出错法。打开你的数据库，在数据库里新建某一表，里面的字段名称数据类型文本型，然后在数据里添上 , 里面

13、随便只要不是可以解析的 ASP 语句就可以。服务器会把 ASP 后缀的文件当做 ASP 文件解析，但一旦里面出现非法的 ASP 语句，就是以无法解析的 ASP 语句，下载时就会显示第几行 ASP 语句出错，就无法被下载了。第三种方法：COPY 法。把数据库改为 1.asp 先，新建一个文本 1.txt 在里面写上就是重定向到 err.htm 页面。再做一个 err.htm 页面，代码如下：哈哈，数据库受到保护了。然后在 DOS 下执行如下命令：copy 1.asp/b+1.txt/a 2.asp 意思就是文件合并拷贝，1.asp 以二进制方式， 1.txt 以 ASCII 方式拷贝，合成新的数据库 2.asp 现在你即使被暴库别人在浏览器或 flas hget 的想下载你的数据库也只能下载到 err.htm 文件了。一点拙见。一点拙见

展开阅读全文