目的:
防止网站的ACCESS数据库文件被下载。[em24]
现行的办法:
将数据库文件的扩展名改为.asp
缺陷:
事实上即使你将扩展名改为.asp,数据库仍然可以被下载,因为这个文件里不含<%或%>等标签,所以IIS不对这个文件作任何处理,下载的数据库和原数据库完全一样![em1]
解决方案:
1.思路很简单,在这个文件中加<%或%>,IIS就会按ASP语法来解析,然后就会报告500错误,自然不能下载了。可是如果只是简单的在数据库的文本或者备注字段加入<%是没用的,因为ACCESS会对其中的内容进行处理,在数据库里他会以< %的形式存在,无效!正确的方法是将<%存入OLE对象字段里,这样我们的目的就能达到了。至于怎么往里加我就不废话了。如果你不会或者嫌麻烦,我已经做好了一个数据库,你下载回来后,在ACCESS中把里面那个表粘贴到你的数据库里,表名随便,然后别忘了将数据库的扩展名改成.asp,这样就ok了。[em2]
这个数据库的下载地址:
download/nodownload.mdb 2.用自己的电脑做服务器或你能操作服务器,那使用ODBC数据源,数据库不放在WEB目录下,用HTTP://www.abc.com/*.mdb就根本找不到数据库;使用虚拟主机也一样,用FTP登陆,进去后一般不是WEB根目录,而是下面还有几个文件夹,如web、data、WebLog等等,web文件夹才为WEB根目录,我们把数据库放在data文件夹下,然后连接数据库时用绝对连接即可。
3.把数据库名改为非常规文件名,双手在键盘上乱敲,10位以上最好,再给数据库加密,先打开个文本编辑器(如记事本),也是双手乱敲,最好一手敲字母,一手敲小键盘上的数字,10位以上最好,然后给数据库加密,即使数据库被下载了让他暴力破解也要花上个好几天时间;再对用户密码以及密码提示问题的答案用MD5加密,这样即使打开数据库也没有用。
以上第1、2方法单独使用都可以防止数据库被下载,3方法只是为了加强保护措施而已,建议3种方法和用,那你就可以高枕无忧啦。[em2][em2][em2]
注:上面的方法参考参考网友一些文章综合而成。