推荐：ASP+Access数据库安全隐患及对策

随着互联网的发展，Web技术日新月异。继CGI(通用网关接口)之后，“ASP”(动态服务器页面)作为一种典型的服务器端网页设计技术，被广泛应用于网上银行、电子商务、搜索引擎等各种互联网应用中。同时，Access数据库作为微软推出的以标准JET为引擎的桌面数据库系统，因其操作简单、界面友好而拥有庞大的用户群。因此，ASP+Access成为许多中小型在线应用系统的首选。然而，ASP+Access解决方案在给我们带来便利的同时，也带来了不容忽视的安全问题。

ASP+Access的安全风险ASP+Access解决方案的主要安全风险来自于Access数据库的安全，其次是ASP网页设计过程中的安全漏洞。

1.1的存储隐患。Access数据库

在ASP+Access应用系统中，如果得到或猜出Access数据库的存储路径和数据库名，就可以将数据库下载到本地。比如对于网上书店的Access数据库，人们一般命名为book.mdb、store.mdb等。，而存储路径一般是“URL/database”或者干脆放在根目录(“URL/”)。这样，只需在浏览器的地址栏输入地址“URL/database/store.mdb”，就可以轻松将store.mdb下载到本地机器。

2.解密的隐患2。Access数据库

因为Access数据库的加密机制非常简单，即使在数据库中设置了密码，解密也很容易。数据库系统通过用固定密钥对用户输入的密码进行异或运算来形成加密字符串，并将其存储在*中从地址“&H42”开始的区域中。mdb文件。由于XOR运算的特点是“两次XOR后将恢复原来的值”，所以用这个密钥与*中的加密字符串进行第二次XOR运算，就可以很容易地得到Access数据库的密码。mdb文件。根据这一原理，可以很容易地编制出解密程序。

所以不管数据库密码设置与否，只要下载了数据库，其信息就没有任何安全性可言。

3.源代码的安全风险

由于ASP程序使用非编译语言，大大降低了程序源代码的安全性。任何进入站点的人都可以获得源代码，导致ASP应用程序源代码泄露。

4.程序设计中的安全隐患

ASP代码使用表单实现与用户交互的功能，相应的内容会体现在浏览器的地址栏中。如果没有采取适当的安全措施，只要记下这些内容
就可以绕过验证，直接进入某个页面。例如，键入“...page.asp？”在浏览器中。X=1”，可以直接进入满足“x=1”条件的页面，无需经过表单页面。因此，在设计验证或注册页面时，必须采取特殊措施来避免此类问题。