今天下午，低一度博客受到攻击了，出现了大约一个小时的访问异常。庆幸的是，这帮无耻歹徒没能成功获取我的Access数据库，而只是象征性地给我注入了一些东西。也不知道他们是怎样注入的！想想的确不容小视这帮混蛋！不过没关系，低一度的数据库目前足够安全。利用这个“机会”，我们就来谈一谈这个问题。

大家都知道，Asp程序使用得最多的数据库类型就是Access，如PJ-Blog、Z-Blog等。这是因为Access数据库简单小巧，直接上传到服务器上就可以用了。尽管简便，然而Access也有不足之处，其中比较伤脑筋的便是其安全性问题。大部分黑客攻击此类Asp站点，就是从获取Access数据库开始的。所以，怎样有效防范Access数据库被恶意下载，成了建站中首当其冲的话题。这里，低一度结合自己的经验、实例及一些网上搜罗来的资料，向大家介绍几种相对有效的防范措施，希望对大家会有帮助（当然，用不着最好）。

防范措施一：将数据库文件名命名得尽可能地复杂

这是最最偷懒的方法了！所以，这个法子的安全指数也并非最高。若攻击者通过第三方途径获得了数据库的路径，你就玩完了。比如说我本来只能拿到list权，结果意外看到了你的数据库路径，那我便可冠冕堂皇地把数据库下载回去研究了。另外，数据文件通常大小都比较大，取再隐蔽的文件名也瞒不了人。呵呵，所以此法我并不提倡。

防范措施二：修改数据库名后缀为Asa或Asp等格式

这一做法，安全指数相对第一种行为会高一些，但同样存在着隐患。它必须配合一些必要的设置进行，如：在数据库文件中加入<%或%>标签，这样，IIS才会按Asp语法来解析，然后报告500错误，使歹徒无法下载。可是，假如只是简单地在数据库的文本或备注字段中加入<%是起不到作用的，因为Access会对其中的内容进行处理，在数据库里它会以< %的形式存在，无效哦！正确的方法应该是将<%存入OLE对象字段里，这样我们的防范目的才能达到。

操作方法如下： 先用notepad新建一个内容为“<%”的文本文件，然后随便取个名字存档。接着，用Access打开你的数据库文件，新建一个表，随便取个什么名字，然后在表中添加一个OLE对象的字段，并添加一条记录，插入之前建立的文本文件，要是操作正确，便可以看到一个新的名为“数据包”的记录。可以了！

防范措施三：在数据库名称前加上“#”等特殊符号

在数据库文件名之前加上“#”等特殊符号、然后修改数据库连接文件（如c_custom.asp）中的数据库地址，也可以起到不错的保护作用。原理是：当歹徒下载的时候，浏览器或下载工具将只能识别“#”符号前的部分地址，而对于“#”后面的名将自动去除。举个例子，假设你要下载：http://www.diyidu.cn/date/#123.mdb（如果存在的话），当你输入该地址回车，此时无论是Ie还是Flashget等，下载到的将都是http://www.diyidu.cn/date/index.htm（index.asp、default.jsp等你在IIS设置的首页文档）。

另外，在数据库文件名中保留一些空格也能起到类似作用，由于Http协议对地址解析的非凡性，空格会被编译为“%”，比如你要下载：http://www.diyidu.cn/date/123 456.mdb（123与456之间是个空格），当你输入该地址回车，此时你下载到的将是http://www.diyidu.cn/date/123%456.mdb。而我们的目录中，根本就没有123%456.mdb这个文件，所以下载也是无效的。经过这样的修改以后，即使你暴露了数据库地址，一般情况下别人也无法下载得到。所以，这项措施的安全指数较之前两法，有更高了一筹。

防范措施四：为你的Access数据库加密

选取“工具-》安全-》加密/解密数据库，选取数据库（如：ABC.mdb）”，然后按确定，接着会出现“数据库加密后另存为”的窗口，另存为：ABC1.mdb，接着原数据库ABC.mdb就会被编码，然后另存为ABC1.mdb。注意，以上动作并不是对数据库设置密码，而是对数据库文件加以编码，目的是为了防止他人使用查看工具来查阅数据库文件中的内容。接下来的操作是：首先打开经过编码了的ABC1.mdb，在打开时，选择“独占”方式。然后选取功能表中的“工具-》安全-》设置数据库密码”， 接着输入密码即可。这样即使他人得到了ABC1.mdb文件，没有密码也是无法看到ABC1.mdb的。最后，记得加密完要同步修改数据库连接文件哦！

一点小说明：由于Access数据库的加密机制相对简单，即使设置了密码，解密也很轻易。只要数据库被下载了，其信息安全依然是个未知数。所以，此法也不是最佳。

防范措施五：将数据库放在Root目录以外或将数据库连接文件放到其他虚拟目录下

这个方法是低一度目前正在使用的，强烈推荐之。比方说，你的WEB目录是D：\wwwroot，那么你可以将数据库放到D：\databases这个文件夹里，然后修改D：\wwwroot里的数据库连接文件，将数据库连接地址修改为：“../databases/数据库名” 的形式，这样数据库也可以正常调用，但是就无法下载了，因为它不存在于wwwroot目录里！这个方法一般不适合于购买虚拟主机的用户。当然，现在的多数虚拟主机程序在wwwroot目录平行位置，已经都有独立的databases目录了，这样子处理后相对来说是最安全的。因为在http环境下，根本没有url可以指向这个目录。除非黑了整台主机！

防范措施六：学会使用ODBC数据源。

在ASP等程序设计中，假如技术条件允许，应当尽量使用ODBC数据源，不要将数据库名写进程序中，否则，数据库名将跟随Asp源代码一同失密，即使你的数据库名字起得再怪异，隐藏的目录再深，也可能很轻易被下载下来。假如使用了ODBC数据源，就不会存在这样的问题了：conn.open “ODBC-DSN名” ，不过这样是比较繁琐的，目录移动的话就要重新设置，更方便的方法请看下面吧！使用ODBC数据源处理的结果有一点不好，就是效率很低，速度会变慢，迁移也不方便。因此虽然安全，也不提倡。

防范措施七：添加数据库名的扩展映射

这个方法就是通过修改IIS设置来实现的，适合有IIS控制权的同学使用，不适合购买虚拟主机的用户（除非技术已经设置了）。但这个方法我认为是目前最好最可靠的。只要修改一处，整个站点的数据库都可以防止被下载，而无须修改代码，即使暴露目标地址也无妨。

操作：在“IIS属性——主目录——配置——映射——应用程序扩展”那里添加如.mdb文件的应用解析。注意，这里的选择的DLL（或EXE等）似乎也不是任意的，选择不当，这个MDB文件还是可以被下载的，最好不要选择asp.dll等。你可以自己多测试几下。经过这样的修改后，下载数据库如：http://www.diyidu.cn/data/123.mdb，就会出现404或500等错误。

防范措施八：懂得利用.net的优越性

动网的木鸟就写过一个防非法下载文件的“WBAL防盗链工具”。不过它只实现了防非本地下载的，没有起到真正的防下载数据库的功能。但这个方法已经跟措施五差不多，可以通过修改.NET文件，实现本地也不能下载！

最后总结：这几个措施中，只有七和八是统一性改的，一次修改配置后，整个站点的数据库都可以防下载，其他的几个措施就要分别修改数据库名和数据库连接文件了，比较麻烦，不过对于使用虚拟主机的朋友而言，也只能这样了！另外，其实第六个措施应该是第五个措施的扩展，可以实现非凡的功能，但如果对不支持.net的主机或怕设置麻烦的人而言，还是直接用第五种措施好了。OK，就这些吧！