欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  数据库

谈使用Access数据库应对的安全策略

程序员文章站 2022-06-08 11:46:24
...

Microsoft Office Access(前名 Microsoft Access)是由微软发布的关联式数据库管理系统。它结合了 Microsoft Jet Database Engine 和 图形用户界面两项特点,是 Microsoft Office的成员之一。 Access能够存取 Access/Jet、Microsoft SQL Server、Oracle(甲

  Microsoft Office Access(前名 Microsoft Access)是由微软发布的关联式管理系统。它结合了 Microsoft Jet Database Engine 和 图形用户界面两项特点,是 Microsoft Office的成员之一。

  Access能够存取 Access/Jet、Microsoft SQL Server、Oracle(甲骨文软件公司),或者任何 ODBC 兼容数据库内的资料。熟练的软件设计师和资料分析师利用它来开发应用软件,而一些不熟练的程序员和非程序员的"进阶用户"则能使用它来开发简单的应用软件。虽然它支援部份面向对象(OO)技术,但是未能成为一种完整的面向对象开发工具。

  其实Access 也是微软公司另一个通讯程序的名字,想与 ProComm 以及其他类似程序来竞争。可是事后微软证实这是个失败计划,并且将它中止。数年后他们把名字重新命名于数据库软件。

攻略篇:  

  一、发挥你的想象力 修改数据库文件名,从理论上讲不一定能防止被.

   修改数据库名,其目的就是防止我们猜到数据库而被下载.

   但是万一我们猜到数据库名,就直接可以下载了.所以这不能保证100%不能被下载.

   猜解数据库的常用的办法就是写程序去猜解数据库名,判断WEB返回的是不是404错误,如果提交一个MDB文件,没有返回404错误,那就猜对了,就直接下载.

   当然这有一定的局限性,因为如果数据库名非常复杂,会产生大量的日志.管理员可能早 发现了.并且还有猜解的时间会变得很长.  

  二:数据库名后缀改为ASA、ASP等,不一定能防止被下载.

   IIS在通过asp.dll处理.asp扩展名文件的时候,对以外的内容,不做任何处理就直接输出,但是MDB文件中如果没有之类的ASP标实符,我们直接在IE中输入URL返回在IE中的数据,就是MDB文件的数据,我们直接用FLASHGET之类的软件就可以下载,下载后改名这后就可以用了.
  
  如图1:  
谈使用Access数据库应对的安全策略

  三: 数据库名前加“#”,一定能防止被下载.  

  有些人误认为:

  "只需要把数据库文件前名加上#、然后修改数据库连接文件(如conn.asp)中的数据库地址。原理是下载的时候只能识别 #号前名的部分,对于后面的自动去掉."  

  这样是比较安全的.这只是对于一般的人无法下载.因为他们不知道,也没有去了解有关IE编码的技术.在编码中我们用%23来代替#号.所以我们如果有一个数据库是:

  http://www.xxx.com/data/#datapro.mdb

  我们直接在IE中输入:

  http://www.xxx.com/data/%23datapro.mdb

  就可以下载了.

  如图2:
谈使用Access数据库应对的安全策略