三大措施设置数据库安全 保障网站安全运营
数据库,网站运营的基础,网站生存的要素,不管是个人用户还是企业用户都非常依赖网站数据库的支持,然而很多别有用心的攻击者也同样非常“看重”网站数据库。
对于个人网站来说,受到建站条件的制约,Access数据库成了广大个人网站站长的首选。然而,Access数据库本身存在很多安全隐患,攻击者一旦找到数据库文件的存储路径和文件名,后缀名为“.mdb”的Access数据库文件就会被下载,网站中的许多重要信息会被一览无余,非常可怕。当然,大家采用了各种措施来加强Access数据库文件的安全,但真的有效吗?
存在漏洞的保护措施
流传最为广泛的一种Access数据库文件保护措施,是将Access数据库文件的后缀名由“.mdb”改为“.asp”,接着再修改数据库连接文件(如conn.asp)中的数据库地址内容,这样一来即使别人知道数据库文件的文件名和存储位置,也无法进行下载。
这是网上最流行的一种增强Access数据库安全的方法,而且还有强大的“理论基础”。
因为“.mdb”文件不会被IIS服务器处理,而是直接将内容输出到Web浏览器,而“.asp”文件则要经过IIS服务器处理,Web浏览器显示的是处理结果,并不是ASP文件的内容。
但大家忽略了一个很重要的问题,这就是IIS服务器到底处理了ASP文档中的哪些内容。这里笔者提醒大家,只有ASP文件中“”标志符间的内容才会被 IIS服务器处理,而其他内容则直接输出到用户的Web浏览器。你的数据库文件中包含这些特殊标志符吗?即使有,Access也可能会对文档中的“”标志符进行特殊处理,使之无效。因此后缀为“.asp”的数据库文件同样是不安全的,还是会被恶意下载。
面对蛊惑人心的理论,以及众人的附和,笔者也开始相信此方法的有效性。但事实胜于雄辩,一次无意间的试验,让笔者彻底揭穿了这个谣言。
笔者首先将一个名为“cpcw.mdb”的数据库文件改名为“cpcw.asp”,然后上传到网站服务器中。运行flashGet,进入“添加新的下载任务”对话框,在“网址”栏中输入“cpcw.asp”文件的存储路径,然后在“重命名”栏中输入“cpcw.mdb”。进行下载后,笔者发现可以很顺利地打开“cpcw.mdb”,而且它所存储的信息也被一览无余。这就充分说明了单纯地将数据库文件名的后缀“.mdb”改为“.asp”,还是存在安全隐患。
- 1五种对交换机进行故障诊断的技术
- 2技术突破还是信息安全的末日
- 3网络社区安全难题待解
- 4移动信息滥用威胁手机安全
- 5交换机中的堆叠与级连区别详解
- 6西安协同办公系统OA
- 7内网安全市场的渠道利益模型探讨
- 8虚拟化容灾成灾备系统建设新方法
- 9男子饭店挑选活鱼当面做记号 上桌后仍旧被掉包
- 10虚拟服务器管理经验技巧
- 11腾讯刘胜义:2012中国数字营销发展五大关键词
- 12面对网络安全威胁 你该如何应对
- 13链家地产:国土部发文调控土地市场
- 14重庆打黑至少没收数百亿资产 去向成谜 -1
- 15网络不中断的有效4招
- 16多种数据复制技术简析
- 17网络安全政策合并
- 18Exchange Server 2007的三大商业价值分析
- 19数据中心的五维度评估法
- 20中国进入汽车新召回时代 或是三包出台前奏
- 21七招打造最安全的Windows XP操作系统
- 22通向一流软件设计的12级阶梯
- 23OA软件可以通过选择日期查看其他周的车辆使用情况
- 24深圳大运会投140亿元收12亿元 审计发现问题
- 25计世独家:甄别两种服务器虚拟化软件
- 26美击案遇害者身份确定 皆死于枪伤最多中11枪
- 27郑州"房妹"父亲被立案查处 爆料人接死亡威胁
- 28小户型橱柜将是未来消费主流趋势
- 29远程复制管理的四项基本原则
- 30直击企业数据集成技术
