热搜词
发表于 2006-11-24 12:10:11 | 显示全部楼层 |阅读模式
<P align=center>ASP+Access数据库的终极安全大法18则</P><P align=left>&nbsp; 1.过滤所有客户端提交内容,包括?id=N一类,还有提交的html代码中的操作数据库的语名如select,及asp文件操作语法,可把提交的字付转义,再存入数据库 &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 2.对访问Access数据库的页面进行授权,如对显示数据页面只能使用select语句,过滤别的什么update,asp文件分为许可访问数据库页面和限制访问页. &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 3.修改数库据连接文件名conn.asp为类似123ljuvo345l3kj34534v.asp文件 &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 4.修改数据库名为类似q397d0394pjsdlkfgjwetoiu.asp文件 &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 5.给Access数据库加上连接密码(虽然可以破解,对付菜鸟,和防止上传文件无限制连接数据库) &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 6.用Access软件对数据库进行编码加密 &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 7.用md5等加密算法加密用户密码,密码提示问题一类的字段 &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 8.限制搜索引擎对相关页面的搜索 &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 9.防止数据库被下载工具下载,如在数据库里加入&lt;%response.end%&gt;等防止向客户端输出的语句 &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 10做好asp上传文件模板的安全管理,防止上传asp木马 &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 11.拒绝客户端访问数据库存连接文件,只准服务器asp文件访问 &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 12.限制同一客户端ip访问数据库次数 &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 13.如有必要对存入数据库的内容进行加密,返回给客户端进行解密,就算数据库被下载了,也不可能轻易得到加密的原始内容 &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 14.对连接服务的头内容进行限制,如只许可ie,火狐浏览访问 &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 15.防止通过文件查看方式,得到数据库信息,可用客户端输入密码,对密码和内容,用一定算法存入数据库,输出时,让客户端输入密码,对内容进行解密 &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 16.把表名和字段名改为aslkejrwoieru,werkuwoeiruwe类似的字符 &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 17.防止在数据库里加入&lt;%代码块%&gt;让改名为.asp的数据执行,可转义&lt;%字符再存入数据库,在每个表中,输入&lt;%response.redirct("http://www.qqmo.com")%&gt;&lt;%set &nbsp; sdflkjsd=welrkjwel&lt;&gt;&lt;&gt;&lt;%&gt;代码等让asp执行出错的内容 &nbsp; <BR>&nbsp; &nbsp; <BR>&nbsp; 18.有条件的最好用odbc连接数据库,并加上连接密码&nbsp;&nbsp; <BR></P>
全部评论0
回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|管理员之家 ( 苏ICP备2023053177号-2 )

GMT+8, 2024-11-25 07:15 , Processed in 0.154677 second(s), 22 queries .

Powered by Discuz! X3.5

Cpoyright © 2001-2024 Discuz! Team