会员登录 注册新帐号电脑店行业门户 | U盘启动工具

首页

网站数据库安全防范要领

发布时间:2013-01-15 09:23     点击:    关注官方微博:

在网站运行过程中,最糟糕的就是数据库文件被下载。一旦这个核心文件被恶意下载,那么网站几乎就等于将控制权拱手让人了。

  下面,提供三种常见的数据库文件安全措施,供读者们参考使用。

  1、本机中的数据库安全策略

  如果我们能够控制服务器(以xp系统为环境),那么可以使用如下能够彻底避免数据库文件被下载的方法。

  步骤1:首先,依次单击“开始”一“管理工具”一“Internet信息服务(IIS)管理器”菜单,打开如图所示的对话框。在这里需要右键单击数据库文件(cib.mdb),在弹出的菜单中选择“属性”。

网站数据库安全防范要领

  步骤2:在弹出的对话框中,勾选“重定向到URL”项,并在“重定向”栏中输入当前网站的网址(或任意网址),如图所示。

  网站数据库安全防范要领

  这样,如果再有人试图用“http://127.0.0.1/db.mdb”文件,那么将自动访问重定向的网址,而不会执行db.mdb这个数据库文件的下载操作。

  2、购买空间的安全策略

  如果是将数据库文件上传到购买的空间,那么通常需要使用如下方法来防止数据库文件被下载。

  这个方法就是把数据库放在Web目录之外。也就是说,不把数据库放在可以直接被访问的Web目录之内,这可以说是最保险的方法。下面,以某个购买的网站空间为例,讲解一下具体实现的方法:

  步骤1:首先,使用FTP方式登录到网站的空间根目录下。此时,可以看到有如图所示的多个目录。

  网站数据库安全防范要领

  步骤2:在这里,Web目录用于存储网站的内容。Db目录就是空间服务商提供的用于存储数据库文件的地方。由于DB这个目录不能被来访者通过URL地址访问到,进而就杜绝了数据库文件被恶意下载的可能。

  步骤3:接着,需要在设计网站时将数据库连接文件中的路径指向到db目录。

  步骤4:最后,把cib1.mdb文件复制到db目录中就可以了。

  3、特殊文件名法

  如果购买的网站空间中没有提供DB、Web等目录,那么建议使用更改数据库文件名的方法来实现数据库的安全。

  有一些网站认为把数据库文件的扩展名修改为.asp(如123.asp),就可以保障数据库不被下载了,其实这是错误的。在如图所示中可以看到这样的数据库文件,是无法通过IE浏览器浏览的。

  网站数据库安全防范要领

  但是,这样的asp文件却是可以被下载的,如图所示。

  网站数据库安全防范要领

  在系统下载文件完成后,只需把文件名再改成mdb,就可以正常使用Access对文件进行编辑了。

  显然,我们需要换一种方法。正确的更名做法是在数据库文件名添加#符号,如“#aa.mdb”,这样无论是旧还是迅雷等下载工具都不会将这个文件下载到本地了,如图示。

  网站数据库安全防范要领

  当然,修改数据库文件名称后,conn.asp这样的数据库路径设置文件中的文件名也需要做相应的修改,如图所示。

  网站数据库安全防范要领

  通过添加特殊的字符,可以让数据库文件路径即使不憤暴露,也能不被恶意下载。通常,数据库文件名会被修改#aa.asp这样的类型,这样既具备了一定的欺骗性,又可以起到很好的防止下载效果。 

★★★ 电脑店行业门户(www.diannaodian.com)独家文章,欢迎大家转载 ★★★