上面我們介紹了怎么去下載數(shù)據(jù)庫。這里我再為大家提講解一些防止數(shù)據(jù)庫被下載的方法.。
一、你用的是虛擬主機:
首先在你的MDB文件中建一個表.表中取一個字段名叫:NotDownLoad吧。 在表名建一個字段。字段中填入:
呵呵,再把數(shù)據(jù)庫改名為.Asp的。為什么要取名為其實=’a’-1這里你可以亂輸入只要不是正確的Asp語句就行了。因為這樣把擴展名改成.ASP后在IE中輸入的時候。遇到了他就會去解釋之間的代碼,讓他解釋吧。呵呵會出錯,所以數(shù)據(jù)庫絕對不會正確的被下載
你讓為安全了嗎?呵呵還不安全。我們還得在數(shù)據(jù)庫名前加上一個#號。 如:#Data.Asp這里的#號并不是用來作防止下載的。防止下載的剛才的過程已經(jīng)作了解釋。當你有多個MDB文件,并放在同一個目錄下.如:某個網(wǎng)站(由于安全原因,就不公布了)的整站系統(tǒng)。如果我們猜到管理員MDB文件的位置并且從另一個系統(tǒng)中得到SQL注入漏洞的同時可以采用ACCESS跨庫查詢的方法。來取得管理員庫中的記錄。 如果我們在庫名前面加上#號的時候,就算你猜測到了,我們也不怕 提交:select * from d:\web\data\#data.asp.admin sql查詢語句,系統(tǒng)會提示出錯。因為#在SQL語法中有表示日期的作用.語法出錯也就不會去執(zhí)行查詢條件了。(呵呵,此網(wǎng)站目前還有一個漏洞我用access跨庫的方法攻擊成功過!)
我認為比較安全的數(shù)據(jù)庫就應該是#文件名.Asp 并且建一個臨時表,表中有一字段 輸入ASP代碼,讓ASP不能被正確的解釋。
二、你用的是托管主機擁有主機權(quán):
這種防下載的方法就太好辦了。呵呵把你的數(shù)據(jù)庫放到IIS以外的目錄。打死我,我也下不了。如你的WEB目錄在D:\Web\WebSite目錄下. 那么就把數(shù)據(jù)庫保存在D:\Web\Data目錄下,當然目前某些虛擬主機,也提供專門的data目錄。
三、設(shè)置文件不可以下載
在IIS中,數(shù)據(jù)庫上右鍵屬性中。設(shè)置文件不可以讀取
結(jié)束語: 看了本文不知道你有何感想,我相信只有實踐才會出真理。
本文鏈接:http://m.95time.cn/tech/program/2004/1827.asp
出處:藍色理想
責任編輯:藍色
上一頁 Access 數(shù)據(jù)庫的攻擊 下一頁
◎進入論壇網(wǎng)絡(luò)編程版塊參加討論
|