如何防止别人下载网站数据库文件
如果你是网页制作爱好者,那你一定知道前段时间动网的数据库可以下载,这成了各个黑客的首选方式。如果数据库就被别人下载了,那像管理员密码等一些安全问题还有什么不是暴露无遗呢。有些朋友开始学做网页的时候也喜欢去改别人的网站,这也确实是个好办法,但是,没想到,一发到网上去就被人把数据库下载了,出现了安全问题。那如何防止数据库被别人下载呢,下面让我们来看几种简单的方法。
1.对于Access数据库
(1)将Access 数据库加密。即使数据库被黑客通过某种途径下载了,如果我们的数据库有强大的密码,那他还是将不能干任何事情。对数据库加密的具体步骤是:打开Access程序,选择“开始”菜单里的“打开”,弹出“打开”对话框,在打开方式里面选择“以独占方式打开”(如下图所示),然后选择“工具”菜单下的“安全”,然后选择“设置数据库密码”,两次填入要设置的密码就可以了。
1.对于Access数据库
(1)将Access 数据库加密。即使数据库被黑客通过某种途径下载了,如果我们的数据库有强大的密码,那他还是将不能干任何事情。对数据库加密的具体步骤是:打开Access程序,选择“开始”菜单里的“打开”,弹出“打开”对话框,在打开方式里面选择“以独占方式打开”(如下图所示),然后选择“工具”菜单下的“安全”,然后选择“设置数据库密码”,两次填入要设置的密码就可以了。
(2)将数据库 database.mdb 改成 #database.mdb。这是最简单有效的办法。#在这里起到间断符的作用,让别人得到的数据库地址其实并不是实际的地址。比如得到web/data,实际上却是web/data/#data#base.mdb。这是因为地址串遇到#号,自动认为访问地址串结束。用这种方法,不管别人用何种工具都无法下载,如flashget,网络蚂蚁等。
2.对数据库文件进行修改
(1)修改数据库名。这是常用的方法,将数据库名改成怪异名字或长名字以防他人猜测。如果被猜到数据库名则还能下载该数据库文件,但机率不大。如:将数据库database.mdb 改成dsieijf8f#$%.mdb 这种名称。
2.对数据库文件进行修改
(1)修改数据库名。这是常用的方法,将数据库名改成怪异名字或长名字以防他人猜测。如果被猜到数据库名则还能下载该数据库文件,但机率不大。如:将数据库database.mdb 改成dsieijf8f#$%.mdb 这种名称。
(2)修改数据库后缀名。数据库的后缀名可以是database.asp、database.asa、database.inc、i、database.dll 等这些形式,但是在IIS 中设置这些后缀的文件不能被解析。
(3)修改数据库文件的路径。将数据库连接文件放到其他虚拟目录下。
其实,还有许多深奥的方法也可以增强数据库文件的安全性,介于难度性,这里就不介绍了。数据库文件的安全性也不是可以通过修改数据库相关方面就可以完全解决问题的,网页的代码设计也是十分重要的。要真正做到数据库的高安全性,必须把数据库设计和网站程序设计结合起来,不仅从数据库方面加强安全,还要从程序设计上来努力。让攻击者不论从哪个方面都难以下手。
--转载于 执著
数据库在网站的核心,一切的SQL侵入都是冲着数据库来的。一旦网站的数据库被人下载那就算你的数据库是MD5加密,还是可以被人暴力破解
数据库在网站的核心,一切的SQL侵入都是冲着数据库来的。一旦网站的数据库被人下载那就算你的数据库是MD5加密,还是可以被人暴力破解
出来。用户的资料丢失,是对自己也是对用户的一种伤害。
那怎么样防止数据库被下载呢。
下面是我从网上摘的一篇文章。
-------------------------------------------------------------------------------------------
那怎么样防止数据库被下载呢。
下面是我从网上摘的一篇文章。
-------------------------------------------------------------------------------------------
防止数据库被下载的几个方法
前言:很多动态站点大量应用了数据库,数据库理所当然成了一个站点的核心文件。一旦数据库被人下载,极有可能被恶意人士破坏网站。或
者窃取资料。实在痛心啊。有什么方法可以防止数据库被人下载呢?
下面提供的的方法分别适用使用虚拟主机空间的用户和有IIS控制权的用户!
一:购买虚拟主机空间的,适合没有IIS控制权
一:购买虚拟主机空间的,适合没有IIS控制权
1:发挥你的想象力 修改数据库文件名
这个是最基本的。我想现在也没有多少连数据库文件名都懒得改的人吧? 至于改成什么,
这个是最基本的。我想现在也没有多少连数据库文件名都懒得改的人吧? 至于改成什么,
你自己看着办,至少要保证文件名复杂,不可猜测性
。当然这个时候你的数据库所在目录是不能开放目录浏览权限的!
2:数据库名后缀改为ASA、ASP等
这个听说很流行,不过我测试了好多次,发现并不理想,如果真正要起到防止下载的作用,要进行一些2进制字段添加等设置,---一句话,繁
这个听说很流行,不过我测试了好多次,发现并不理想,如果真正要起到防止下载的作用,要进行一些2进制字段添加等设置,---一句话,繁
而复杂(如果你的数据库有很多的话,这个方法实在不是很好)
3:数据库名前加“#”
只需要把数据库文件前名加上#、然后修改数据库连接文件(如conn.asp)中的数据库地址。原理是下载的时候只能识别 #号前名的部分,
只需要把数据库文件前名加上#、然后修改数据库连接文件(如conn.asp)中的数据库地址。原理是下载的时候只能识别 #号前名的部分,
`cZ8"育dYE|^ILOJH7{
对于
后面的自动去掉,比如你要下载:www.pcdigest/date/#123.mdb(假设存在的话)。无论是IE还是FLASHGET等下到的都是
www.pcdigest/date/index.htm(index.asp、default.jsp等你在IIS设置的首页文档)
另外在数据库文件名中保留一些空格也起到类似作用,
另外在数据库文件名中保留一些空格也起到类似作用,
I垠qv$DSG!|dK,S理SX"
由于HTTP协议对地址解析的特殊性,空格会被编码为"%",如
www.pcdigest/date/123 456.mdb,下载的时www.pcdigest/date/123%456.mdb。而我们的目录就根本没有123%456.mdb
这个文件,所以下载也是无效的这样的修改后,即使你暴露了数据库地址,一般情况下别人也是无法下载!
4:加密数据库
用ACCESS将你的数据库以独占方式打开后,在工具-安全-设置数据库密码,加密后要修改数据库连接页, 如:
conn.open "driver={microsoft access driver (*.mdb)};uid=admin;pwd=数据库密码;dbq=数据库路径"
这样修改后,数据库即使被人下载了,别人也无法打开(前提是你的数据库连接页中的密
用ACCESS将你的数据库以独占方式打开后,在工具-安全-设置数据库密码,加密后要修改数据库连接页, 如:
conn.open "driver={microsoft access driver (*.mdb)};uid=admin;pwd=数据库密码;dbq=数据库路径"
这样修改后,数据库即使被人下载了,别人也无法打开(前提是你的数据库连接页中的密
码没有被泄露)
但值得注意的是,由于Access数据库的加密机制比较简单,即使设置了密码,
但值得注意的是,由于Access数据库的加密机制比较简单,即使设置了密码,
5软i7网业ivYQdP
解密也很容易。该数据库系统通过将用户输入的密码与某一固定
密钥进行“异或”来形成一个加密串,并将其存储在*.mdb文件从地址“&H42”开始的区域内。所以一个好的程序员可以轻松制作一个几十行的
小程序就可以轻松地获得任何Access数据库的密码。因此,只要数据库被下载,其信息安全依然是个未知数。
二:有主机控制权 (当然虚拟空间的设置在这里依然可以用)
5:数据库放在WEB目录外
如你的WEB目录是e:\webroot,可以把数据库放到e:\data这个文件夹里,在e:\webroot里的数据库连接页中
5:数据库放在WEB目录外
如你的WEB目录是e:\webroot,可以把数据库放到e:\data这个文件夹里,在e:\webroot里的数据库连接页中
修改数据库连接地址为:"../data/数据库名" 的形式,这样数据库可以正常调用,
但是无法下载的,因为它不在WEB目录里!这个方法一般也
但是无法下载的,因为它不在WEB目录里!这个方法一般也
不适合购买虚拟空间的用户。
6:使用ODBC数据源。
在ASP等程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,
否则,数据库名将随ASP源代码的失密而一同失密,
在ASP等程序设计中,如果有条件,应尽量使用ODBC数据源,不要把数据库名写在程序中,
否则,数据库名将随ASP源代码的失密而一同失密,
例如: DBPath = Server.MapPath(“../123/abc/asfadf.mdb ”)
conn.open “driver={Microsoft Access Driver (*.mdb)};dbq=”& DBPath
可见,即使数据库名字起得再怪异,隐藏的目录再深,ASP源代码失密后,也很容易被下载下来。
如果使用ODBC数据源,就不会存在这样的问题
conn.open “driver={Microsoft Access Driver (*.mdb)};dbq=”& DBPath
可见,即使数据库名字起得再怪异,隐藏的目录再深,ASP源代码失密后,也很容易被下载下来。
如果使用ODBC数据源,就不会存在这样的问题
了: conn.open “ODBC-DSN名” ,不过这样是比较烦的,目录移动的话又要重新设置数据
源了
更方便的方法请看第7,8法!
更方便的方法请看第7,8法!
7:添加数据库名的如MDB的扩展映射
这个方法就是通过修改IIS设置来实现,适合有IIS控制权的朋友,不适合购买虚拟主机用户(除非管理员已经设置了)
。这个方法我认为是目前
这个方法就是通过修改IIS设置来实现,适合有IIS控制权的朋友,不适合购买虚拟主机用户(除非管理员已经设置了)
。这个方法我认为是目前
最好的。只要修改一处,整个站点的数据库都可以防止被下载。无须修改代码即使暴露目标地址也可以防止下载,dc5络}.c86G{bnK4-Z
如图1、2设置:
如图1、2设置:
此主题相关图片如下:
我们在 IIS属性---主目录---配置---映射---应用程序扩展那里添加.mdb文件的应用解析。
注意这里的选择的DLL(或EXE等)似乎也不是任意
的,q垠05YTJc7专L}~*的z6X选择不当,这个MDB文件还是可以被下载的, 注意最好不要选择选择asp.dll等。
你可以自己多测试下
这样修改后下载数据库如:192.168.1.5/HaoBbs/data/dvbbs6.mdb。
就出现(404或500等错误)
你可以自己多测试下
这样修改后下载数据库如:192.168.1.5/HaoBbs/data/dvbbs6.mdb。
就出现(404或500等错误)
8:使用的优越性
动网的木鸟就写过一个防非法下载文件的“WBAL 防盗链工具”。
具体可以登陆www.9seek/WBAL/
不过 那个只实现了防止非本地下载的 ,
动网的木鸟就写过一个防非法下载文件的“WBAL 防盗链工具”。
具体可以登陆www.9seek/WBAL/
不过 那个只实现了防止非本地下载的 ,
'k!业T!d无JzK(JYuG供
没有起到真正的防下载数据库的功能。
不过这个方法已经跟5法差不多
可以通过修改.NET文件,实现本地也不能下载!
不过这个方法已经跟5法差不多
可以通过修改.NET文件,实现本地也不能下载!
这几个方法中,只有第7和8个是统一性改的,一次修改配置后,整个站点的数据库都可以防止下载,w管2?提#6供A理{T
其他几个就要分别修改数据库名和连接文
其他几个就要分别修改数据库名和连接文
件,比较麻烦,不过对于虚拟主机的朋友也只能这样了!
其实第6个方法应该是第5个方法的扩展,可以实现特殊的功能,但对于不支持的主机或者怕设置麻烦的话,
还是直接用第5个方法了,而且默认情况下第6个方法,依然可以通过复制连接到同主机的论坛或留言本发表,
然后就可以点击下载了
(因为这样的引用页是来自同主机的)
还是直接用第5个方法了,而且默认情况下第6个方法,依然可以通过复制连接到同主机的论坛或留言本发表,
然后就可以点击下载了
(因为这样的引用页是来自同主机的)
这几个方法各有长短,请自己选择性地使用。这些方法也不是绝对的安全,还需要网站管理员平时注意一些系统的安全,以及写
ASP/ASP.NET/JSP代码本身的安全 ,否则依然是有可能被人下载或者修改数据库的!
-------------------------------------------------------------------------------------------
个人认为除了第7种方法可能会有用外,其他的都是狗屁。但第7种方法对购买虚拟主机空间的用户无效。那怎么样才能有效防止数据库被下载呢?
第一种方法:数据库命名法。
-------------------------------------------------------------------------------------------
个人认为除了第7种方法可能会有用外,其他的都是狗屁。但第7种方法对购买虚拟主机空间的用户无效。那怎么样才能有效防止数据库被下载呢?
第一种方法:数据库命名法。
数据库名字写的再复杂,都可能是没用的,因为数据库路径可能被暴露。一旦被人在地址栏用非法的一些字符暴露了数据库路径。你也就挂了。数据库后缀改为asa,asp或在前面在#也都是不可行的,我试了,都是可以用网际快车下载的。所以我总结了我的经验,一般方法是这样的。
修改数据库连接页asp 源代码conn.asp,在里面打开连接的地方写上on error resume next.此句是防止数据库暴库。然后数据库名字改为global.asa,但不要放在网站的根目录。这样你的数据库就不会被非法下载了。
第二种方法:ASP出错法。
打开你的数据库,在数据库里新建某一表,里面的字段名称<%nodownload%>数据类型文本型,然后在数据里添上<%dsfsfsfsdf%>,里面随便只要不是可以解析的ASP语句就可以。服务器会把ASP后缀的文件当做ASP文件解析,但一旦里面出现非法的ASP语句,就是以无法解析的ASP语句,下载时就会显示第几行ASP语句出错,就无法被下载了。
第三种方法:COPY法。
把数据库改为1.asp先,新建一个文本1.txt在里面写上
<%direct "err.htm"%>就是重定向到err.htm 页面。再做一个err.htm页面,代码
修改数据库连接页asp 源代码conn.asp,在里面打开连接的地方写上on error resume next.此句是防止数据库暴库。然后数据库名字改为global.asa,但不要放在网站的根目录。这样你的数据库就不会被非法下载了。
第二种方法:ASP出错法。
打开你的数据库,在数据库里新建某一表,里面的字段名称<%nodownload%>数据类型文本型,然后在数据里添上<%dsfsfsfsdf%>,里面随便只要不是可以解析的ASP语句就可以。服务器会把ASP后缀的文件当做ASP文件解析,但一旦里面出现非法的ASP语句,就是以无法解析的ASP语句,下载时就会显示第几行ASP语句出错,就无法被下载了。
第三种方法:COPY法。
把数据库改为1.asp先,新建一个文本1.txt在里面写上
<%direct "err.htm"%>就是重定向到err.htm 页面。再做一个err.htm页面,代码
如下:
<html>
<head></head><body>哈哈,数据库受到保护了。</body></html>
然后在DOS下执行如下命令:copy 1.asp//a 2.asp
意思就是文件合并拷贝,1.asp以二进制方式,1.txt以ASCII方式拷贝,合成新的数据库2.asp现在你即使被暴库别人在浏览器或flashget 的想下载你的数据库也只能下载到 err.htm文件了。
一点拙见。
一点拙见
<html>
<head></head><body>哈哈,数据库受到保护了。</body></html>
然后在DOS下执行如下命令:copy 1.asp//a 2.asp
意思就是文件合并拷贝,1.asp以二进制方式,1.txt以ASCII方式拷贝,合成新的数据库2.asp现在你即使被暴库别人在浏览器或flashget 的想下载你的数据库也只能下载到 err.htm文件了。
一点拙见。
一点拙见
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论