Chinaunix首页 | 论坛 | 博客
  • 博客访问: 456351
  • 博文数量: 750
  • 博客积分: 40000
  • 博客等级: 大将
  • 技术积分: 4970
  • 用 户 组: 普通用户
  • 注册时间: 2008-09-09 12:36
文章分类

全部博文(750)

文章存档

2011年(1)

2008年(749)

我的朋友
最近访客

分类:

2008-09-09 15:22:31


  现在很多网站都是因为数据库源地址被黑客通过某些手段得到,导致数据库文件被,而被入侵者取得了控制权!偶然间想到了一个配置IIS使数据库防的办法,经过配置后,就算黑客得到了数据库的位置和数据库的文件名,也没法通过任何软件到你的数据库文件,从而使的数据库处于地带。是不是很爽?其实很简单,只要你为数据库的文件设置一个重定向的URL就行了。以下介绍的方法是我认为量安全的防数据库下载的方法。
  举一个例子来说明吧。假设我现在要搞一个网站,域名为netpk,com,使用asp加access数据库交互式动态主页,数据库文件没有加密,只要黑客下载了数据库就能得到网站admin的控制权,网站首页文件名为而dex.asp。
  在没开始之前,我们光对一般网站防数据库的最原始方面进行一下介绍。怎样防止mdb数据库被下载一直是用access的程序员的一大头疾。现在常用约有效方法有如下几种
  (1)修改数据库名。这是常用方法,将数据库名改成怪异名字或长名字,以防别人猜测。一旦被人猜到,别人还是能下载数据库文件,但几率不大。如将数据库database.mdb改成k2c7d9s3^&ij3f.mdb等。
  (2)修改数据库后缀。一般改成database.asp、databaSe.asa、database.inc、database.Cgi、databaSe、d11等,注意要在IIS中设置这些后缀的文件不能被解析。
  (3)将数据库database.mdb改成#database.mdb。这是最简单有效的办法。
  分析:假设别人得到你的数据库地址串是:
  ,但实际上他得到的是 。
  因为#在这里起到间断符的作用,地址串遇到#号,自动认为访问地址串结束。注意不要设置目录可访问。用这种方法,不管别人用何种工具都无法下载,如flashget、网络蚂蚁等。
  注:只要数据库文件名任何地方含有'#'别人都无法正常下载。同理,空格号也可以起到。#号作用,但必须是文件名中间出现空格。
  (4)将数据库连接文件放到其他虚拟目录下。
  (5)将Access数据库加密。
  以上我们只是列出了常用之法,为了增加保险性,可以几种方法同时使用。
  数据库文件的地址一般都在com.asp的文件里,假设我们的数据库名为net.mdb,数据库文件在根目录net的文件夹下,我们只要把com.asp的文件设置下文件重定向URL就行了。我们先设置conn.asp这个文件重定向URL,打开Internet服务管理器,然后选择我们的站点netpk.com,在netpk.com的站点里找到conn.asp文件,点击鼠标右键会出现一个菜单,选择属性选项,会出现一个窗口,如图1所示。然后我们选择"重定向到URL"选项,在重定向到的白色输入框里设置你要重定向到的地址。这里我们输入,如果别人访问你这个文件,那么他的访问即被转向到了的首页了,就像我们常使用的转向域名原理一样。
  然后我们再设置根目录下net文件夹里的netpk.mdb的文件重定向就行了。步骤和刚才的一样,只是重复设置了一次,很简单吧?
  通过上面的安全配置,你的动态网站一样可以正常使用,但是黑客却没法下载你的数据库了,如果黑客知道了你的数据库位置,那么黑客用那些下载工具下载你的数据库文件netpk.mdb时,黑客下载下来的只会是的首页文件,不能下载数据库文件,因为数据库已经被设置了重定向,所有指向这个数据库的文件地址的连接都会被重定向连接到的首页文件里。
  
【责编:admin】
--------------------next---------------------

阅读(243) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~