有关ASP+ACCESS网站安全的

摘 要：文章着重论述了网站维护的过程中,尤其是针对ASP+ACCESS网站安全的一些个人的思考.

关 键 词：网站安全；数据库；防护

一、引言

在高校中,简单的ASP+ACCESS网站仍是大多数人的选择.ASP作为一种较简单的编程语言,一来网上的资源比较多,二来在维护起来也比较方便,ACCESS就更容易了,它等于是数据库的入门级,条目清楚,结构简便,但是这种方便就带来了安全的隐患,如何保证后台数据库的安全,我们需要好好的思考一下.

二、保护ACCESS数据库的几种方法

(一)通过更优化的命名方法

目前,只要通过查找网站中固定的几个文件,如conn.asp,inc/conn.asp,就可以从中查找到有关.mdb的信息,稍微对应一下目录,就可以将整个数据库完整的下载下来,这样,我们对数据库的安全就无从说起.有些人为了好记,通常会将数据库的中文意思,按照大写字母的顺序进行命名,如“人事系统”,会命名为rsxt.mdb,或者干脆为了方便,直接命名为data.mdb,123.mdb,另外,存放数据库的文件夹的命名,一般以data,database居多,并且将其放在主目录下面,很容易找到,更安全的做法是将它藏得深一点,放置在主目录下的多层目录中,命名也复杂一点为好.

在数据库连接文件conn.asp中常常出现下例：

DBPath等于Server.MapPath（“abbkeitu／kjh44w1／ddc／apke　／fass9228ba1．mdb”）conn.　Open”driver等于{Microsoft　Access　Driver　（　.mdb）}；dbq等于”＆　DBPath

这个mdb文件的命名真是复杂啊,但是如果conn.asp被下载了,找到这个数据库是非常容易的事,所以可以的话,还是利用ODBC数据源,即使conn.asp被盗,也只能得到数据源的名字而非原始数据库的名字.

(二)让写入ACCESS的数据进行加密

不知道大家发现没有,有些ACCESS字段,如password,会是一串经过加密后的文字,看也看不懂,这是怎么做到的呢?现今经常采用的是md5的加密算法,此算法将你原始的,进行一系列比对,转换,再写入数据库,这样做的好处是,正向算法不算太麻烦,但是逆向去推却是不可能的,最大程度上保障了用户的安全.

(三)改变一下放置数据库的位置

在被攻击过几次后,我做过如下尝试,就是将数据库的位置搬到root外面来.设置主web怎么写作器和备份怎么写作器,data文件夹和root文件夹为同一级,备份怎么写作器只限于单位内访问,所有的后台添加全部在备份怎么写作器上完成,通过定时的备份文件,将备份怎么写作器的数据传送至主web怎么写作器上,主web怎么写作器上关掉所有后台添加的入口,经过这样的处理过后,主web怎么写作器再也没被攻击过.

(四)提防网页挂马

现在的真是无孔不入,令人很头疼,网页挂马这种现象也出现过一次,乱七八糟的代码写在每个asp文件的后面,也有代码写入了ACCESS数据库.要防止这种情况,首先要做的就是备份数据库.有些网站要放在外面租用的空间上,那FTP上传文件的也要设得复杂一些,最好10位20位的.网页被挂马说直接点,大部分是网页代码的问题,可以利用特定的参数向数据库中写入挂马链接,另外,上传附件如要求不严格的话,也极易造成漏洞,让上传了木马文件,导致整个网站面目全非.因此,要提防网页挂马,就是要仔细比对网页代码,不要留下特别明显的漏洞,关闭掉web怎么写作器上不用的端口及怎么写作程序,要用的时候再一个一个的开,有条件的话,在web怎么写作器上装网页防篡改系统,又给了网站另一层保护.

(五)杀毒软件要经常更新

这是最基本的一点,web怎么写作器上肯定要装上杀毒软件,保持杀毒软件保持在最新的状态,定期对怎么写作器进行全面扫描,将木马啊,病毒啊及时的查找出来.防火墙也是必要的手段,一般来讲,在怎么写作器上都会装上硬件防火墙,它的功用大大超过软件防火墙.

三、结语

网站的安全,在很大程度上,不仅仅是技术的问题,更大程度上,是管理的问题,对网站进行合理有序的管理与维护,是我们网络安全管理员必须要做的.随着社会的进步,网站的管理手段也会越来越好,有更好的管理软件,我们要善于利用去做好网站的防护.