Access数据库安全攻防策略

互联网没有绝对的安全。这是一句经典的话，不用我多说！
今天，我将向您展示如何下载Access数据库并防止其被下载。
参考一些文章，补充自己的看法。

攻击:

首先发挥你的想象力，修改数据库文件名，理论上可能不妨碍下载。修改数据库名的目的是为了防止我们猜测数据库被下载。但是万一我们猜中了数据库名，可以直接下载。所以不能保证100%下载不到。常见的猜测数据库的方法是编写程序猜测数据库名称，判断WEB是否返回404错误。如果你提交一个MDB文件，它没有返回404错误，那就猜对了，直接下载。当然，这有一定的局限性，因为如果数据库名称非常复杂。将会生成大量日志。管理员可能已经发现了。而且要很长时间才能猜出来。

二:将数据库名后缀改为ASA、ASP等。可能无法阻止它被下载。当IIS用。asp扩展通过asp.dll，它直接输出除它们以外的内容，不做任何处理。但是如果MDB文件中没有这样的ASP标记，我们直接把URL输入IE，返回IE中的数据，就是MDB文件的数据。我们可以用FLASHGET之类的软件直接下载，下载后重命名，就可以使用了。

三:在数据库名前面加“#”肯定会阻止下载。

有些人错误地认为:“只要在数据库文件的名字前面加上#然后在数据库连接文件中修改数据库地址就可以了(比如conn.asp)。原理是下载时只能识别#的名字，后者会自动删除。”

这样更安全。只是一般人下载不了而已。因为他们不知道也不了解IE编码的技术。我们在编码中用%23代替#。因此，如果我们有一个数据库，即:http://www.xxx.com/data/#datapro.mdb,，我们可以直接在IE中输入:http://www.xxx.com/data/%23datapro.mdb并下载它:

四:加密数据库。

有人认为，如果对ACCESS数据库加密，即使得到了数据库，也无法得到里面的任何信息。这是一个错误的解决方案。下载后，2秒代码解决数据库密码。Access数据库的加密机制非常脆弱。加密数据库系统通过用固定密钥对用户输入的密码进行异或运算来形成加密字符串，并将其存储在*区域中。从地址“&H42”开始的mdb文件。你可以很容易地用程序写出破解代码。网上已经有这样的节目了。现在我推荐一个古老但非常实用的破解数据库密码的程序:accesskey.exe。

第五:我们使用特殊的请求使脚本解析错误并获得数据库路径。

在网上，很多人直接用下面的代码连接数据库。看:...DB_Path = "Data/ABCD1234！@ # 1po . MDB " DB _ String = " Provider = Microsoft。Jet . OLEDB.4.0数据源= " & server . mappath(db _ path)set conn = server . createobject(" adodb . connection ")conn . opendb _ string...数据库文件名复杂到足以被程序破解。我想没有人愿意尝试。有了这样的连接方式，我们就可以直接获得他的数据库路径。因为这种方法太危险，所以知道的人很少。我不敢在这里发表。一旦发布，不知道会有多少网站的数据库被下载。以后再说吧。所以这里我只给你提供一个临时补丁。在Conn . Open DB _ String:ON ERROR RESUME NEXT中添加一句话可以解决这个问题。