网站内容安全防护技术浅析(asp带来的安全问题1.asp程序源代码的主要安全防范对策)

　　网站内容安全防护技术浅析(asp带来的安全问题1.asp程序源代码的主要安全防范对策)

　　[摘要] 本文分析研究了asp+access网站中access数据库的主要安全问题，并从access数据库安全和asp页面安全方面提出了相应的安全对策。

　　[关键词] asp access数据库安全odbc数据源

　　作者所从事的公司的数据、隐私和员工密码永远不会安全。可以看出，无论是否设置了数据库密码，只要下载了数据库，其信息就根本没有任何安全性。

　　(二）asp 带来的安全问题

　　1.asp程序源码的隐患

　　由于asp程序使用非编译语言，这大大降低了程序源代码的安全性。任何人只要进入网站就可以获得源代码，这导致了asp应用源代码的泄露。

　　2.程序设计中的安全隐患

　　asp代码使用表单（form）来实现与用户交互的功能，相应的内容会反映在浏览器的地址栏中。如果没有采取适当的安全措施，只要把内容写下来，就可以绕过验证，直接进入某个页面。比如在浏览器中输入“page.asp?x=1”，就可以直接进入满足“x=1”条件的页面，无需经过表单页面。因此，在设计验证或注册页面时，必须采取特殊措施来避免此类问题。

　　二、注意事项

　　我们可以通过混淆方式、隐藏方式、加密方式、odbc数据源方式、注册验证方式等技术手段来防止数据库文件被非法下载。

　　(一）非常规命名法

　　1. 修改数据库主文件名，放到深目录

　　防止数据库被发现的简单方法是给访问数据库文件一个复杂的非常规名称，并将其存储在多级目录中。loCAlHOSt 例如，对于网上花店的数据库文件，不要简单地命名为“flower.mdb”或“bloom.mdb”，而要给它一个非常规的名称，例如：hallower123.mdb，以及然后放在/wh123/wd123d/hoo9/dh123/abc等深目录下。这使得攻击者很难简单地猜测数据库的位置。

　　2.修改mdb扩展为asp或asa等不影响数据查询的名字

　　但是有时候修改成asp或者asa后还是可以下载的。比如将mdb修改为asp后，在ie的地址栏中直接进入企业提供安全高效的信息服务。

　　参考：

　　[1]周军.asp网站系统安全技术研究。商洛大学学报, 2007, (5).

　　[2] 李东风，谢欣．数据库安全技术研究与应用。商洛大学学报, 2008, (1).

　　[3] 吴朴峰，张玉清．数据库安全概述。商洛大学学报, 2006, (12).