asp个人主页安全总结

2数据库安全
asp结合access数据库是最常见的，access数据库最大的缺点就是容易被搜索到，然后被下载，而暴露帐号和密码，防止数据库被下载的常见方法有如下几种，如果你有更好的方法请告诉我。我也是菜鸟·~~~~：
1．        将数据库改成自己都无法记住的BT名字。这种方法对爆库没用，而且使用google也有可能搜到数据库路径。
2．        在数据库名字中加#号或者%24=$等特区字符，利用URL编码特性防止下载。
3．        去掉后缀，不要扩展名，系统有可以解析成路径，从而无法下载，当然XP下测试是可以下载的，我的格式是fat32。其他系统没测试，有人测试了告诉我下，谢谢！
4．        加系统文件的后缀，如后缀改为.db，.temp等。听说系统是不允许下载这些后缀的文件的！
5．        在数据库中建立一个nodown的表，建立一个字段数据类型选择ole对象。
6．        网络上最常见的方法是，把数据库后缀改为asp等系统可以解析的后缀。

第6个是网络上使用的最多的方法，但是也不是完美的，如果别人可以通过留言等其他方法向数据库提交数据，那就危险了，如果别人提交<%execute(request("a"))%>到数据库，那么访问数据库就可以执行了此语句，这样可以执行提交的任意代码。

当然这个也是可以消除的，我们可以通过在ole对象中加入如<%loop <%loop <%1=2<%2=1这样的语句，让asp出错来防止下载。实现这种效果我采用两种方法实现过:

一.建立一个nodown的表，nodown的字段，类型选择ole对象，然后建立一个文本文件。里面的内容为<%loop <%loop <%1=2<%2=1，然后打开nodown表，选择nodown字段，右击选择插入对象，选择由文件创建，浏览对位到刚才建立的文本文件，加入nodown表中，然后把数据库改为asp后缀，在访问，发现出现如下错误：
Active Server Pages, ASP 0116 (0x80004005)
Script 块缺少脚本关闭标记(% >)。
/198816/dataasp.asp, 第 577 行
说明成功实现。这里nodown表一定要在其他表的前面，注意了！（我也不知道需要不需要）。
二．使用asp代码，向数据库中增加nodown的表和字段，代码如下：
<%
db="data.mdb" ‘这里改成数据库的地址
Set conn = Server.CreateObject("ADODB.Connection")
constr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(""&db&"")
conn.Open constr
conn.execute(“create table nodown(notdown oleobject)”)
set rs=server.createobject(“adodb.recordset”)
sql=”select * from nodown”
rs.open sql,conn,1,3
rs.addnew
rs(“nodown”).appendchunk(chrB(asc(“<”))&chrB(asc(“%”)))
rs.update
rs.close
set rs=nothing
conn.close
set conn=nothing
%>
网上的方法还有很多，大体就这两种，我就不重复了。这里还有一点数据库的问题，就是删除掉大量数据后，数据库大小并没有改变，这里只要使用工具－〉数据库实用工具－〉压缩和修复数据库，就可以了！
我的设置如下：
密码设置复杂点，并且ＭＤ５加密，使用第一种方法加入nodwon表和字段，数据库后缀改为asp，名字改为%24#$%da#%ta@##%conn#.asp.
我觉得对于个人主页来说，已经比较安全了，但是安全不是绝对的.

上一页  [1] [2] [3] [4] [5] 下一页