郭敏

[摘要]在ASP（Active Server Pages）作為一種典型的服務(wù)器端網(wǎng)頁(yè)設(shè)計(jì)技術(shù)，被廣泛地應(yīng)用在網(wǎng)上銀行、電子商務(wù)、搜索引擎等各種互聯(lián)網(wǎng)應(yīng)用中，同時(shí)Access數(shù)據(jù)庫(kù)作為微軟推出的以標(biāo)準(zhǔn)JET為引擎的桌面型數(shù)據(jù)庫(kù)系統(tǒng)，由于具有操作簡(jiǎn)單、界面友好等特點(diǎn)，具有較大的用戶群體。但ASP+Access解決方案在為我們帶來(lái)便捷的同時(shí)，由于數(shù)據(jù)庫(kù)中數(shù)據(jù)大量集中存放，并且為眾多用戶直接共享，所以數(shù)據(jù)庫(kù)的安全問(wèn)題就尤為突出。

[關(guān)鍵詞]網(wǎng)站建設(shè) 數(shù)據(jù)庫(kù)安全 Access

隨著Internet的發(fā)展，Web技術(shù)日新月異，ASP（Active Server Pages）作為一種典型的服務(wù)器端網(wǎng)頁(yè)設(shè)計(jì)技術(shù)，被廣泛地應(yīng)用在網(wǎng)上銀行、電子商務(wù)、搜索引擎等各種互聯(lián)網(wǎng)應(yīng)用中。同時(shí)Access數(shù)據(jù)庫(kù)作為微軟推出的以標(biāo)準(zhǔn)JET為引擎的桌面型數(shù)據(jù)庫(kù)系統(tǒng)，由于具有操作簡(jiǎn)單、界面友好等特點(diǎn)，具有較大的用戶群體。因此ASP+Access成為許多中小型網(wǎng)上應(yīng)用系統(tǒng)的首先方案。但ASP+Access解決方案在為我們帶來(lái)便捷的同時(shí)，由于數(shù)據(jù)庫(kù)數(shù)據(jù)中數(shù)據(jù)大量集中存放，并且為眾多用戶直接共享，所以數(shù)據(jù)庫(kù)的安全問(wèn)題就尤為突出。

一、ASP+Access的安全隱患

ASP+Access解決方案的主要安全隱患來(lái)自Access數(shù)據(jù)庫(kù)的安全性，其次在于ASP網(wǎng)頁(yè)設(shè)計(jì)過(guò)程中的安全漏洞。

1.Access數(shù)據(jù)庫(kù)的存儲(chǔ)隱患

在ASP+Access應(yīng)用系統(tǒng)中，如果獲得或者猜到Access數(shù)據(jù)的存儲(chǔ)路徑和數(shù)據(jù)庫(kù)名，則該數(shù)據(jù)庫(kù)就可以被下載到本地。

例如：對(duì)于網(wǎng)上書(shū)店的Access數(shù)據(jù)庫(kù)，人們一般命名為book.mdb、store.mdb等，而存儲(chǔ)的路徑一般為“URL/database”或干脆放在根目錄（“URL/”）下。這樣，只要在瀏覽器地址欄中敲入地址：“URL/ database/store.mdb”，就可以輕易地把stroe.mdb下載到本地的機(jī)器中。

2.Access數(shù)據(jù)庫(kù)的解密隱患

由于Access數(shù)據(jù)庫(kù)的加密機(jī)制非常簡(jiǎn)單，所以即使數(shù)據(jù)庫(kù)設(shè)置了密碼，解密也很容易。該數(shù)據(jù)庫(kù)系統(tǒng)通過(guò)將用戶輸入的密碼與某一固定密鑰進(jìn)行異或來(lái)形成一個(gè)加密串，并將其存儲(chǔ)在*.mdb文件中從地址“&H42;” 開(kāi)始的區(qū)域內(nèi)。由于異或操作的特點(diǎn)是“經(jīng)過(guò)兩次異或就恢復(fù)原值”，因此，用這一密鑰與*.mdb文件 的加密串進(jìn)行第二次異或操作，就可以輕松地得到Access數(shù)據(jù)庫(kù)的密碼。基于這種原理，可以很容易地編制出解密程序。

由此可見(jiàn)，無(wú)論是否設(shè)置了數(shù)據(jù)庫(kù)密碼，只要數(shù)據(jù)庫(kù)被下載，其信息就沒(méi)有任何安全性可言了。

3.源代碼的安全隱患

由于ASP程序采用的是非編譯性語(yǔ)言，這大大降低了程序源代碼的安全性。任何人只要進(jìn)入站點(diǎn)，就可以獲得源代碼，從而造成ASP應(yīng)用程序源代碼的泄露。

4.程序設(shè)計(jì)中的安全隱患

ASP代碼利用表單（from）實(shí)現(xiàn)與用戶交互的功能，而相應(yīng)的內(nèi)容會(huì)反映在瀏覽器的地址欄中，如果不采用適當(dāng)?shù)陌踩胧?，只要記下這些內(nèi)容，就可繞過(guò)驗(yàn)證直接進(jìn)入某一頁(yè)面。

使如在瀏覽器中敲入“……Papg.asp？x=2”，即可不經(jīng)過(guò)表單頁(yè)面直接進(jìn)入滿足“X=2”條件的頁(yè)面。因此，在設(shè)計(jì)驗(yàn)證或注冊(cè)頁(yè)面時(shí)，必須采取特殊措施來(lái)避免此類(lèi)問(wèn)題的發(fā)生。

二、提高數(shù)據(jù)庫(kù)安全性的方法

由于Access數(shù)據(jù)庫(kù)加密機(jī)制過(guò)于簡(jiǎn)單，困此，如何有效地防止Access數(shù)據(jù)庫(kù)被下載，就成了提高ASP+Access解決方案安全性的重中之重。

1.非常規(guī)命名法

防止數(shù)據(jù)庫(kù)被找到的簡(jiǎn)便方法是為Access數(shù)據(jù)庫(kù)文件起一個(gè)復(fù)雜的非常規(guī)名字，并把它存放在多層目錄下。

例如，對(duì)于網(wǎng)上書(shū)店的數(shù)據(jù)庫(kù)文件，不要簡(jiǎn)單地命名為“book.mdb”或“store.mdb”，而是要起一個(gè)非常規(guī)的名字，例如faq19jhsvzbal.mdb，再把它放在如./akkjj16t/kjhgb661/acd/avccx55之類(lèi)的深層目錄下。這樣，對(duì)于一些通過(guò)猜的方式得到Access數(shù)據(jù)庫(kù)文件名的非法訪問(wèn)方法起到了有效的阻止作用。

2.數(shù)據(jù)庫(kù)加密

首先在選取“工具→安全→加密/解密數(shù)據(jù)庫(kù)”，選取數(shù)據(jù)庫(kù)（如：data.mdb），然后按確定，接著會(huì)出現(xiàn)“數(shù)據(jù)庫(kù)加密后另存為”的窗口，存為：datal.mdb。接著data.mdb就會(huì)被編碼，然后存為datal.mdb。要注意的是，以上的動(dòng)作并不是對(duì)數(shù)據(jù)庫(kù)設(shè)置密碼，而只是對(duì)數(shù)據(jù)庫(kù)文件加以編碼，目的是為了防止他人使用別的工具來(lái)查看數(shù)據(jù)庫(kù)文件的內(nèi)容。

接下來(lái)我們?yōu)閿?shù)據(jù)庫(kù)加密，首先以打開(kāi)經(jīng)過(guò)編碼了的datal.mdb，在打開(kāi)時(shí)，選擇“獨(dú)占”方式。然后選取功能表的“工具→安全→設(shè)置數(shù)據(jù)庫(kù)密碼”，接著輸入密碼即可。這樣即使他人得到了employerl.mdb文件，沒(méi)有密碼他是無(wú)法看到data1.mdb的。

加密后要修改數(shù)據(jù)庫(kù)連接頁(yè)，如：

conn.open “driver={mi-crosoft access driver（*.mdb）}；

uid=admin；pwd=數(shù)據(jù)庫(kù)密碼；dbq=數(shù)據(jù)庫(kù)路徑”

這樣修改后，數(shù)據(jù)庫(kù)即使被人下載了，別人也無(wú)法打開(kāi)（前提是你的數(shù)據(jù)庫(kù)連接頁(yè)中的密碼沒(méi)有被泄露）。但如前所述，由于數(shù)據(jù)庫(kù)加密機(jī)制比較簡(jiǎn)單，只要數(shù)據(jù)庫(kù)被下載，其信息安全依然是個(gè)未知數(shù)。

3.使用ODBC 數(shù)據(jù)源

在ASP程序設(shè)計(jì)中，應(yīng)盡量使用ODBC數(shù)據(jù)源，不要把數(shù)據(jù)庫(kù)名直接寫(xiě)在程序中，否則，數(shù)據(jù)庫(kù)將隨ASP源代碼的失密而一同失密。例如：

DBPath=Server.MapPath（“./akkjj16t/kjhg661/acd/avccx55/faq19jhsvzbal.mdb”）

Conn.Open “driver=Microsoft Access Driver（*.mdb）；dbq=”

&DBPath;

可見(jiàn)，即使數(shù)據(jù)庫(kù)名字起得再怪異，隱藏的目錄再深，ASP源代碼失密后，數(shù)據(jù)庫(kù)也很容易被下載下來(lái)。如果使用ODBC數(shù)據(jù)源，就不會(huì)存在這樣的問(wèn)題了：

Conn.open “ODBC—DSN名”這種方法的不足之處是如果移動(dòng)站點(diǎn)目錄的話，需要重新設(shè)置數(shù)據(jù)源。

4.在數(shù)據(jù)庫(kù)名稱(chēng)里加#號(hào)

在數(shù)據(jù)庫(kù)名前加上一個(gè)#號(hào)，臺(tái)：#Data.Asp。這里的#號(hào)并不是用來(lái)防止下載的。當(dāng)你有多個(gè)MDB文件，并放在同一個(gè)目錄下，如果訪問(wèn)者猜到管理員MDB文件的位置，并且從另一個(gè)系統(tǒng)中得到SQL注入漏洞的同時(shí)，就可以采用Access跨庫(kù)查詢的方法，來(lái)取得管理員庫(kù)中的記錄。如果我們?cè)趲?kù)名前面加上#號(hào)的時(shí)候，就算被猜測(cè)到了也沒(méi)有關(guān)系，因?yàn)?在SQL語(yǔ)法中有表示日期的作用，語(yǔ)法出錯(cuò)也就不會(huì)去執(zhí)行查詢條件了。

需要注意的是：只要數(shù)據(jù)庫(kù)文件名任何地方含有#號(hào)，別人都無(wú)法正常下載。同理，空格號(hào)也可以起到#號(hào)作用，但必須是文件名中間出現(xiàn)空格。

5.更改數(shù)據(jù)庫(kù)文件名并在數(shù)據(jù)庫(kù)中加入ASP代碼字段

這種作法是比較專(zhuān)業(yè)但也是很安全的也是現(xiàn)在比較流行的方法，其正確作法他為兩步：

第一步，在你的MDB文件中建一個(gè)表，如NotDownLoad在表中建一個(gè)字段，類(lèi)型為OLE對(duì)象，字段名為：<%abcd%>，為什么要取名為<%abcd%>，其實(shí)在這里可以隨便輸入，只要不是正確有ASP語(yǔ)句就行了。

第二步，數(shù)據(jù)庫(kù)改為“文件名.Asp”。

這樣把擴(kuò)展名改成.ASP后，在IE中輸入的時(shí)候，遇到了<%>他就會(huì)去解釋之間的代碼，而不正確的ASP語(yǔ)句在解釋時(shí)會(huì)出現(xiàn)亂碼，所以數(shù)據(jù)庫(kù)就不會(huì)正確有被下載。

綜上所述，比較安全的數(shù)據(jù)庫(kù)就應(yīng)該是#文件名.Asp，并且建一個(gè)臨時(shí)表，表中有一字段輸入ASP代碼，讓ASP不能被正確的解釋。

注意：上述防止數(shù)據(jù)庫(kù)被下載的方法主要針對(duì)虛擬服務(wù)器而言。對(duì)于托管主機(jī)，那就比較簡(jiǎn)單了，直接把數(shù)據(jù)庫(kù)放在IIS以外的目錄即可防止被下載。例如：WEB目錄在D：＼Web＼WebSite目錄下，那么就把數(shù)據(jù)庫(kù)保存在D：＼Web＼Data目錄下。

（作者單位：十堰職業(yè)技術(shù)（集團(tuán)）學(xué)校 湖北十堰）