ASP＋Access的安全隐患及对策access教程

ASP+Access解决方案的主要安全隐患来自于Access数据库的安全，其次是ASP网页设计的安全漏洞。

1.1的存储隐患。Access数据库

在ASP+Access应用系统中，如果得到或猜出Access数据库的存储路径和数据库名，就可以将数据库下载到本地。比如对于网上书店的Access数据库，人们一般命名为book.mdb、store.mdb等。，而存储路径一般是“URL/database”或者干脆放在根目录(“URL/”)。这样，只需在浏览器的地址栏输入地址“URL/database/store.mdb”，就可以轻松将store.mdb下载到本地机器。

2.解密的隐患2。Access数据库

因为Access数据库的加密机制非常简单，即使在数据库中设置了密码，解密也很容易。数据库系统通过用固定密钥对用户输入的密码进行异或运算来形成加密字符串，并将其存储在*中从地址“& &H42”开始的区域中。MDB文件。由于XOR运算的特点是“两次XOR后将恢复原来的值”，所以用这个密钥与*中的加密字符串进行第二次XOR运算，就可以很容易地得到Access数据库的密码。MDB文件。根据这一原理，可以很容易地编制出解密程序。

所以不管数据库密码设置与否，只要下载了数据库，其信息就没有任何安全性可言。

3.源代码的安全风险

由于ASP程序使用非编译语言，大大降低了程序源代码的安全性。任何进入站点的人都可以获得源代码，导致ASP应用程序源代码泄露。

4.程序设计中的安全隐患

ASP代码使用表单实现与用户交互的功能，相应的内容会体现在浏览器的地址栏中。如果没有采取适当的安全措施，只要记下这些内容就可以绕过验证，直接进入某个页面。例如，键入“...page.asp？”在浏览器中。X=1”，可以直接进入满足“x=1”条件的页面，无需经过表单页面。因此，在设计验证或注册页面时，必须采取特殊措施来避免此类问题。

提高数据库的安全性

由于Access数据库的加密机制过于简单，如何有效地防止Access数据库被下载成为了提高ASP+Access解决方案安全性的重中之重。

1.非常规命名法

防止数据库被发现的一个简单方法是给Access数据库文件取一个复杂的非常规名称，并将其存储在一个多级目录中。比如对于网上书店的数据库文件，不要简单的命名为“book.mdb”或者“store.mdb”，而要给它一个非常规的名字，比如faq19jhsvzbal.mdb，放在深度目录比如。/a kkjj16t/kjhgb661/ACD/avcx55。这样，一些通过猜测获取Access数据库文件名的非法访问方法得到了有效的防止。

2.使用ODBC数据源

ASP编程中，尽量使用ODBC数据源，不要在程序中直接写数据库名，否则数据库名会随着ASP源代码的泄露而泄露。例如:

DBPath =服务器。MapPath("。/akkjj 16t/kjhgb 661/ACD/avccx 55/FAQ 19 jhsvzbal . MDB ")

conn . Open " Driver = { Microsoft Access Driver(*。MDB)}；dbq=" & DBPath

可见，即使数据库名称怪异，隐藏目录很深，ASP源代码被攻破，也能轻松下载数据库。如果使用ODBC数据源，就不会有这样的问题:

Conn.open "ODBC-DSN名称"