導(dǎo)讀：隨著計(jì)算機(jī)技術(shù)的突發(fā)猛進(jìn)，數(shù)據(jù)庫(kù)應(yīng)運(yùn)而生，成為了現(xiàn)代社會(huì)的主流，可以說(shuō)，沒(méi)有哪一個(gè)企業(yè)的發(fā)展能離開(kāi)數(shù)據(jù)庫(kù)，所以把數(shù)據(jù)庫(kù)運(yùn)用好就是財(cái)富，下面就為大家介紹財(cái)富，愿大家財(cái)富滾滾來(lái)。

小案例：昨天試驗(yàn)了一下，把data.mdb文件改名為data.asp文件后放在wwwroot目錄里。然后在IE中輸入data.asp路徑后，發(fā)現(xiàn)IE顯示一片空白，右鍵->察看源文件，跳出記事本，將內(nèi)容另存為.mdb文件，用ACCESS打開(kāi)，發(fā)現(xiàn)需要密碼，也就是說(shuō)至少文件頭被破壞。

　　然后用Flashget試驗(yàn)下載data.asp文件，并另存為data.mdb文件，發(fā)現(xiàn)用ACCESS打開(kāi)完好無(wú)損!!!看來(lái)，好一些編程人員在開(kāi)發(fā)的時(shí)候都認(rèn)為，改了mdb后綴為asp就能防下載的概念，是錯(cuò)的!后臺(tái)數(shù)據(jù)庫(kù)被下載對(duì)于一個(gè)asp+access的網(wǎng)站來(lái)說(shuō)無(wú)疑是一場(chǎng)慘絕人寰的災(zāi)難。今天找了各方的文章，歸納一下有以下9種辦法防止數(shù)據(jù)庫(kù)被下載(歡迎補(bǔ)充)：

1.發(fā)揮你的想象力 修改數(shù)據(jù)庫(kù)文件名

　　不用說(shuō)，這是最最偷懶的方法，但是若攻擊者通過(guò)第三方途徑獲得了數(shù)據(jù)庫(kù)的路徑)，就玩完了。比如說(shuō)攻擊者本來(lái)只能拿到list權(quán)，結(jié)果意外看到了數(shù)據(jù)庫(kù)路徑，就可以冠冕堂皇地把數(shù)據(jù)庫(kù)下載回去研究了。另外，數(shù)據(jù)文件通常大小都比較大，起再隱蔽的文件名都瞞不了人。故保密性為最低。

2.數(shù)據(jù)庫(kù)名后綴改為ASA、ASP等

　　此法須配合一些要進(jìn)行一些設(shè)置，否則就會(huì)出現(xiàn)本文開(kāi)頭的那種情況

　　(1)二進(jìn)制字段添加(此招我還沒(méi)有煉成-_-+)。

　　(2)在這個(gè)文件中加入，IIS就會(huì)按ASP語(yǔ)法來(lái)解析，然后就會(huì)報(bào)告500錯(cuò)誤，自然不能下載了。可是如果只是簡(jiǎn)單的在數(shù)據(jù)庫(kù)的文本或者備注字段加入

3.數(shù)據(jù)庫(kù)名前加“#”?
　　只需要把數(shù)據(jù)庫(kù)文件前名加上#、然后修改數(shù)據(jù)庫(kù)連接文件（如conn.asp）中的數(shù)據(jù)庫(kù)地址。原理是下載的時(shí)候只能識(shí)別 #號(hào)前名的部分，對(duì)于后面的自動(dòng)去掉，比如你要下載：http://www.pcdigest.com/date/#123.mdb(假設(shè)存在的話）。無(wú)論是IE還是FLASHGET等下到的都是http://www.test.com/date/index.htm(index.asp、default.jsp等你在IIS設(shè)置的首頁(yè)文件)??
　　另外在數(shù)據(jù)庫(kù)文件名中保留一些空格也起到類(lèi)似作用，由于HTTP協(xié)議對(duì)地址解析的特別性，空格會(huì)被編碼為"%",如http://www.test.com/date/123?;456.mdb，下載的時(shí)http://www.test.com/date/123 %456.mdb。而我們的目錄就根本沒(méi)有123%456.mdb這個(gè)文件，所以下載也是無(wú)效的這樣的修改后，即使你暴露了數(shù)據(jù)庫(kù)地址，一般情況下別人也是無(wú)法下載！? DL.bitsCN.com網(wǎng)管軟件下載

4.加密數(shù)據(jù)庫(kù)?
　　首先在選取"工具->安全->加密/解密數(shù)據(jù)庫(kù)，選取數(shù)據(jù)庫(kù)（如：employer.mdb），然后接確定，接著會(huì)出現(xiàn)數(shù)據(jù)庫(kù)加密后另存為"的窗口，存為：employer1.mdb。接著employer.mdb就會(huì)被編碼，然后存為employer1.mdb..要注意的是，以上的動(dòng)作并不是對(duì)數(shù)據(jù)庫(kù)設(shè)置密碼，而只是對(duì)數(shù)據(jù)庫(kù)文件加以編碼，目的是為了防止他人使用別的工具來(lái)查看數(shù)據(jù)庫(kù)文件的內(nèi)容。?
? 接下來(lái)我們?yōu)閿?shù)據(jù)庫(kù)加密，首先以打開(kāi)經(jīng)過(guò)編碼了的?employer1.mdb，在打開(kāi)時(shí)，選擇"獨(dú)占"方式。然后選取功能表的"工具->安全->設(shè)置數(shù)據(jù)庫(kù)密碼"， 接著輸入密碼即可。這樣即使他人得到了employer1.mdb文件，沒(méi)有密碼他是無(wú)法看到 employer1.mdb的。??
DL.bitsCN.com網(wǎng)管軟件下載

加密后要修改數(shù)據(jù)庫(kù)連接頁(yè)， 如：? 
conn.open driver={microsoft access driver (*.mdb)};uid=admin;pwd=數(shù)據(jù)庫(kù)密碼;dbq=數(shù)據(jù)庫(kù)路徑"?
　　這樣修改后，數(shù)據(jù)庫(kù)即使被人下載了，別人也無(wú)法打開(kāi)（前提是你的數(shù)據(jù)庫(kù)連接頁(yè)中的密碼沒(méi)有被泄露）?
　　但值得注意的是，由于Access數(shù)據(jù)庫(kù)的加密機(jī)制比較簡(jiǎn)單，即使設(shè)置了密碼，解密也非常容易。該數(shù)據(jù)庫(kù)系統(tǒng)通過(guò)將用戶輸入的密碼和某一固定密鑰進(jìn)行“異或”來(lái)形成一個(gè)加密串，并將其存儲(chǔ)在*.mdb文件從地址“&H42”開(kāi)始的區(qū)域內(nèi)。所以一個(gè)好的程式員能輕松制作一個(gè)幾十行的小程式就能輕松地獲得所有Access數(shù)據(jù)庫(kù)的密碼。因此，只要數(shù)據(jù)庫(kù)被下載，其信息安全依然是個(gè)未知數(shù)。??
中國(guó)網(wǎng)管論壇

5.數(shù)據(jù)庫(kù)放在WEB目錄外或?qū)?shù)據(jù)庫(kù)連接文件放到其他虛擬目錄下?
　　如你的WEB目錄是e:＼webroot，能把數(shù)據(jù)庫(kù)放到e:＼data這個(gè)目錄里，在e:＼webroot里的數(shù)據(jù)庫(kù)連接頁(yè)中修改數(shù)據(jù)庫(kù)連接地址為：../data/數(shù)據(jù)庫(kù)名的形式，這樣數(shù)據(jù)庫(kù)能正常調(diào)用，不過(guò)無(wú)法下載的，因?yàn)樗辉赪EB目錄里！這個(gè)方法一般也不適合購(gòu)買(mǎi)虛擬空間的用戶。?

6.使用ODBC數(shù)據(jù)源。?
　　在ASP等程式設(shè)計(jì)中，如果有條件，應(yīng)盡量使用ODBC數(shù)據(jù)源，不要把數(shù)據(jù)庫(kù)名寫(xiě)在程式中，否則，數(shù)據(jù)庫(kù)名將隨ASP原始碼的失密而一同失密，例如： DBPath = Server.MapPath(“../123/abc/asfadf.mdb ”)?? 中國(guó)網(wǎng)管聯(lián)盟
conn.open “driver={Microsoft Access Driver (*.mdb)};dbq=”& DBPath??
　　可見(jiàn)，即使數(shù)據(jù)庫(kù)名字起得再怪異，隱藏的目錄再深，ASP原始碼失密后，也非常容易被下載下來(lái)。如果使用ODBC數(shù)據(jù)源，就不會(huì)存在這樣的問(wèn)題了： conn.open ODBC-DSN名不過(guò)這樣是比較煩的，目錄移動(dòng)的話又要重新設(shè)置數(shù)據(jù)源了，更方便的方法請(qǐng)看第7，8法！?

7.添加數(shù)據(jù)庫(kù)名的如MDB的擴(kuò)展映射?
　　這個(gè)方法就是通過(guò)修改IIS設(shè)置來(lái)實(shí)現(xiàn)，適合有IIS控制權(quán)的朋友，不適合購(gòu)買(mǎi)虛擬主機(jī)用戶(除非管理員已設(shè)置了）。這個(gè)方法我認(rèn)為是目前最佳的。只要修改一處，整個(gè)站點(diǎn)的數(shù)據(jù)庫(kù)都能防止被下載。無(wú)須修改代碼即使暴露目標(biāo)地址也能防止下載。?
　　我們?cè)贗IS屬性---主目錄---設(shè)置---映射---應(yīng)用程式擴(kuò)展那里添加.mdb文件的應(yīng)用解析。注意這里的選擇的DLL（或EXE等）似乎也不是任意的，選擇不當(dāng)，這個(gè)MDB文件還是能被下載的，?注意最佳不要選擇選擇asp.dll等。你能自己多測(cè)試下?
bbs.bitsCN.com

　　這樣修改后下載數(shù)據(jù)庫(kù)如：http://www.test.com/data/dvbbs6.mdb。就出現(xiàn)（404或500等錯(cuò)誤）??

8：使用.net的優(yōu)越性?
　　動(dòng)網(wǎng)的木鳥(niǎo)就寫(xiě)過(guò)一個(gè)防非法下載文件的“WBAL 防盜鏈工具”。具體能登陸http://www.9seek.com/WBAL/?;?
　　不過(guò) 那個(gè)只實(shí)現(xiàn)了防止非本地下載的 ，沒(méi)有起到真正的防下載數(shù)據(jù)庫(kù)的功能。不過(guò)這個(gè)方法已跟5法差不多能通過(guò)修改.NET文件，實(shí)現(xiàn)本地也不能下載！?

　　這幾個(gè)方法中，只有第7和8個(gè)是統(tǒng)一性改的，一次修改設(shè)置后，整個(gè)站點(diǎn)的數(shù)據(jù)庫(kù)都能防止下載，其他幾個(gè)就要分別修改數(shù)據(jù)庫(kù)名和連接文件，比較麻煩，不過(guò)對(duì)于虛擬主機(jī)的朋友也只能這樣了！?
中國(guó)網(wǎng)管聯(lián)盟

　　其實(shí)第6個(gè)方法應(yīng)該是第5個(gè)方法的擴(kuò)展，能實(shí)現(xiàn)特別的功能，但對(duì)于不支持.net的主機(jī)或怕設(shè)置麻煩的話，還是直接用第5個(gè)方法了，而且默認(rèn)情況下第6個(gè)方法，依然能通過(guò)復(fù)制連接到同主機(jī)的論壇或留言本發(fā)表，然后就能點(diǎn)擊下載了（因?yàn)檫@樣的引用頁(yè)是來(lái)自同主機(jī)的）?

9.利用NTFS分區(qū)的文件權(quán)限設(shè)置(by percyboy)?
? 我們已知道，ASP.NET 中使用 ADO.NET 訪問(wèn)數(shù)據(jù)庫(kù)，通過(guò) OleDb 的連接能訪問(wèn) Access 數(shù)據(jù)庫(kù)??我們非常常用的低端數(shù)據(jù)庫(kù)之一。本文討論了 ASP.NET 中可能看到的若干錯(cuò)誤提示，從中看到 Access 2000 和 Access XP 創(chuàng)建的數(shù)據(jù)庫(kù)文件，在訪問(wèn)出現(xiàn)錯(cuò)誤時(shí)會(huì)出現(xiàn)不太相同的錯(cuò)誤提示。希望對(duì)大家有所幫助。另一個(gè)要點(diǎn)是，希望通過(guò)此文，使大家對(duì) ASP.NET 中 Access 數(shù)據(jù)庫(kù)文件的 NTFS 權(quán)限設(shè)置有所新的認(rèn)識(shí)。??

以上就是數(shù)據(jù)庫(kù)防止下載的方法，保護(hù)好數(shù)據(jù)庫(kù)，您還等什么，趕快將著九條付諸現(xiàn)實(shí)，讓您的數(shù)據(jù)庫(kù)平平安安。
 

【編輯推薦】

1. 企業(yè)數(shù)據(jù)庫(kù)安全四大策略
2. 企業(yè)該如何制定最佳數(shù)據(jù)庫(kù)安全策略
3. 當(dāng)前數(shù)據(jù)庫(kù)安全現(xiàn)狀及其安全審計(jì)
4. 了解數(shù)據(jù)庫(kù)安全審計(jì)工具