Zblog数据库的简单安全防护

时间:2011-08-17 22:22:43

 大部分国内Asp程序使用大多都是Access数据库,例如Zblog。Access是一个桌面级数据库,最大的优点就是维护简单,管理方便。不需要特定的专用空间,只要与程序文件一起直接上传到虚拟主机上就可以了。(以下内容用SQL数据库的略过。。。)

站长必须保证数据安全

作为ASP程序使用最多的数据库类型,ACC数据库也有很多不令人满意的地方,例如他的调用效率和数据安全问题。ACC数据库的本质是微软开发的Office系列软件之一的数据管理系统,既然是桌面办公级,那么就有它的局限性,ACC数据库在大小和并发用户的支持上十分有限,一旦数据库文件过大,并发用户过多就会导致严重的性能问题。(ACC数据库具体的优缺点可以看这篇文章
 
ACC数据库缺点不止是这些,安全性不够才是ACC最大的弊病。
 
黑客在攻击此类ASP程序的网站时,首先就是从数据库上下手,由于IIS的报错提示容易暴露数据库的地址,黑客很容易就会获取到数据库。怎样防止数据库被恶意下载,是站长首当其冲,必须高度重视的问题。
 
今天,小宇就来谈谈防止ACC数据库被恶意下载的几个简单有效的方法。。
 
一,最简单的办法,文件名混淆复杂加密
 
1,将数据库放在尽可能深的文件目录里,并将数据库文件名及.MDB后缀改成与该目录文件相似的名称。
以避免有空间权限和FTP被他人登陆后被下载的问题。
缺点,数据库一般较大,很容易区分;IIS的报错提示会暴露数据库的真实地址。
即使是放在默认目录,也要尽可能的将数据库文件名设置的长且复杂一点,最好中英文,符号混合设置,以防被一些黑客工具枚举。
 
二,数据库名称前或名称后加"#"号
 
1,数据库文件名之前加上“#”号后,由于浏览器或下载工具只能识别“#”符号前的部分地址,当下载例如http://www.huceo.com/DATA/#123456.mdb时,得到的将是http://www.huceo.com/DATA/index.html首页文件,如果没有该文件,则会出现错误提示。
 
2,数据库名称里加上#号后,从URL上请求时#只是一个分隔字符,就算知道了数据库名,用浏览器下载时,WEB服务器会忽视#号后面的字符。如:123#456.mdb,当用工具下载时,WEB服务器会认为请求的是123.mdb而不是123#456.mdb,从而就会出现无法找到文件的错误提示。
缺点,由于URL中对于特殊的字符有一个特殊的表示方式,,#的特殊表示就是%23,如果是123%23456.mdb则该文件就会被下载。另外,一些下载工具如迅雷等可以直接下载这种文件。
 
三,将数据库放在WEB目录以外的目录里面
 
现在的大多数虚拟主机,空间会有默认的四个目录,例如:wwwroot,databases,logfiles,others。在http环境下,只有wwwroot是开放目录,一般用来存放可以被外部访问程序文件;databases一般就是ACC数据库专用目录;logfiles是系统日志目录;others用来放自己不对外开放的个人文件目录。
只要将数据库移到databases目录,一般就非常安全了,因为在http环境下,databases是完全封闭的目录,只有FTP工具才能找到这个目录。黑客除非直接夺得主机的控制权才能找到到你的数据库。
 
将数据库从/WEB/123456.MDB移到databases目录后需要更改数据库连接文件里面的数据库连接地址,具体视程序而视,例如Zblog则是这个文件:c_custom.asp,请把数据库连接地址改成这样“
../databases/123456.mdb”。
 
如果更改了数据库文件名或后缀名也需要更改成相应的地址。
 
以上介绍的只是一些简单容易操作的防护方法,
 
稍复杂点的还有把数据名改成ASP,asa的,把数据库加密的,还有通过IIS设置给数据库名添加扩展映射的方法。(更多ACC数据库的安全防护方法和对策
 
综上所述,第三个办法:将数据库放在WEB目录以外,数据库专用目录里面是最简单,方便,有效的。
 

本站所有文章均为小宇博客原创,转载请注明来源及出处!

作者:宇天行

本文首发地址:http://www.huceo.com/post/266.html

或许您还会喜欢这些文章:

Tags: 作者:宇天行 | 分类:开发技术 | 评论:38 | 浏览:8549

您对本文《Zblog数据库的简单安全防护》有哪些看法?  ---  【期待您的评论】

您正在以游客身份发表评论:

必填

选填

选填

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

GoodLuck2016-12-18 14:12:00回复评论
那不知道ZBLOG使用的ACC数据库安全性怎样 ?
宇天行2016-12-18 14:12:00回复评论
不存在这种说法,数据库是一个单独的系统,但程序可以尽可能的优化和保护数据库。ACC数据库只适合保密性不高、数据量较小的系统应用。。。
评论者2016-12-18 14:12:00回复评论
Zblog数据库的简单安全防护
支持一下
都说不安全?
宇天行2015-02-26 14:24:02回复评论
不存在这种说法,数据库是一个单独的系统,但程序可以尽可能的优化和保护数据库。ACC数据库只适合保密性不高、数据量较小的系统应用。。。
GoodLuck2015-02-23 14:32:47回复评论
那不知道ZBLOG使用的ACC数据库安全性怎样 ?
宇天行2015-02-26 14:24:02回复评论
不存在这种说法,数据库是一个单独的系统,但程序可以尽可能的优化和保护数据库。ACC数据库只适合保密性不高、数据量较小的系统应用。。。
游客2015-01-19 10:54:29回复评论
Zblog数据库的简单安全防护
支持一下
宇天行2012-06-30 02:30:14回复评论
呵呵,能对你有帮助就不枉此文了。
宇天行2011-12-16 22:38:13回复评论
ACC数据库如果暴露URL地址,是可以被下载的。
宇天行12011-09-16 22:58:59回复评论
呵呵,欢迎常来。。
宇天行2011-08-21 14:37:31回复评论
呵呵,那就该体验一下ZBLOG了。
宇天行2011-08-21 14:37:51回复评论
常来围观
宇天行2011-08-21 14:38:10回复评论
这也不怎么全啊
宇天行2011-08-21 14:38:25回复评论
那就要常来哦。
宇天行2011-08-21 14:39:54回复评论
JS的安全平时关注比较少。
宇天行2011-08-21 14:39:07回复评论
呵呵,不会吧
宇天行2011-08-21 14:38:50回复评论
随便,注意加个链接哦。。。
宇天行2011-08-20 00:22:45回复评论
还是PHP强大一些
宇天行2011-08-20 00:22:19回复评论
嗯,这个确实。
宇天行2011-08-20 00:21:53回复评论
有用就好,欢迎常来。。
宇天行2011-08-18 21:45:45回复评论
相比其他程序语言来讲,的确没落了。
宇天行2011-08-18 21:44:21回复评论
可以自动安装啊,建议去zblog官网看看。。
宇天行2011-08-18 21:43:31回复评论
是得注意了。。
宇天行2011-08-18 21:43:12回复评论
没有,这是ZBLOG哦。。
宇天行2011-08-18 21:42:56回复评论
呵呵,用WP的可以飘过。。
宇天行2011-08-18 21:42:31回复评论
对,经常备份是作为一个站长必须具备的美德。。
宇天行2011-08-18 21:41:46回复评论
同ZBLOG的也很多啊。。
宇天行2011-08-18 21:41:21回复评论
是得注意了。。
宇天行2011-08-18 21:41:00回复评论
ZBLOG的安全性比WP更差。。
宇天行2011-08-18 21:40:33回复评论
只是一些简单的设置技巧。。。
FiPGdE2013-11-15 19:46:12回复评论
写的实在是太好了,一定要支持一下大家有空也可以去我的网站里面有很多银杏树知识www.917yinxing.comOUmYI
tzifeng2013-11-14 12:30:34回复评论
路过看看 学习了,谢谢分享WnlWs
FvG4rr2013-08-14 12:20:22回复评论
这篇文章不错,欢迎看一下我的mMaXS
ghjkkss2012-10-17 14:33:42回复评论
嗯,确实挺不错的,伴侣友链论坛banluyoulian.com谢谢您分享文章!
piaoye832012-10-11 16:29:37回复评论
思路很好,楼主再接再厉出更精彩的218539
ghjss2012-10-08 21:28:20回复评论
写的实在是太好了,抱淘虎酒店预订网baotaohu.com一定要支持一下!
haiping2012-06-28 23:22:54回复评论
这方法非常不错,之前我看的脚本之家的。一直提示数据库链接错误。看到你的文章才弄好。谢谢哈。
宇天行2012-06-30 02:30:14回复评论
呵呵,能对你有帮助就不枉此文了。
呵呵啊2012-04-03 10:32:43回复评论
呵呵。支持那啊
写的不错,很久没看到这样的文章了
利杰博客2011-12-13 15:33:26回复评论
以前不知道为什么为MDB数据库前面要加#号,原来有这个原因啊
感恩2011-12-07 12:26:24回复评论
非常实用。。。受用
非常好,随后可试试,网站安全问题也是个大事。
青州seo2011-10-21 14:43:54回复评论
现在数据库应该做了放下载吧 直接输入地址没发下载啊?
宇天行2011-12-16 22:38:13回复评论
ACC数据库如果暴露URL地址,是可以被下载的。
厉害....
忆草2011-08-26 22:59:38回复评论
不错,前来围观一下了
宇天行12011-09-16 22:58:59回复评论
呵呵,欢迎常来。。
减肥吧2011-08-20 16:46:03回复评论
还不错啦,转载来看看
何大爷2011-08-20 16:43:52回复评论
也想玩玩Z-blog 现在只玩过WP
宇天行2011-08-21 14:37:31回复评论
呵呵,那就该体验一下ZBLOG了。
谢谢提供这文章,呵
前来围观
宇天行2011-08-21 14:37:51回复评论
常来围观

站内文章搜索

转播分享好友

网盟广告赞助