中华网络安全联盟    作者：佚名    来源：网络转载    时间：2006-3-23

引子：

昨天和animator试验了一下，把data.mdb文件改名为data.asp文件后放在www.root目录里。然后在IE中输入data.asp路径后，发现IE显示一片空白，右键- >察看源文件，跳出记事本，将内容另存为.mdb文件 ，用Access打开，发现需要密码，也就是说至少文件头被破坏。然后用 Flashget试验下载data.asp文件，并另存为data.mdb文件，发现用ACCESS打开完好无损。

看来，一些编程人员在开发的时候都认为，改了mdb后缀为asp就能防下载的概念，是错的！后台数据库被下载对于一个asp+a ccess的网站来说无疑是一场惨绝人寰的灾难。今天找了各方的文章，归纳一下有以下9种办法防止数据库被下载（欢迎补充）：

1.发挥你的想象力修改数据库文件名

这是最最偷懒的方法，但是若攻击者通过第三方途径获得了数据库的路径），就玩完了。比如说攻击者本来只能拿到list权 ，结果意外看到了数据库路径，就可以冠冕堂皇地把数据库下载回去研究了。另外，数据文件通常大小都比较大，起再隐蔽的文件名都瞒 不了人。故保密性为最低。

2.数据库名后缀改为ASA、ASP等

此法须配合一些要进行一些设置，否则就会出现本文开头的那种情况

（1）二进制字段添加。

（2）在这个文件中加入<%或%>，IIS就会按ASP语法来解析，然后就会报告500错误，自然不能下载了。可是 如果只是简单的在数据库的文本或者备注字段加入<%是没用的，因为ACCESS会对其中的内容进行处理，在数据库里他会以 < %的形式存在，无效！正确的方法是将 <%存入OLE对象字段里，这样我们的目的就能达到了。制作方法：首先，用notepad新建一个内容为 <% 的 文本文件，随便起个名字存档。

接着，用Access打开您的数据库文件，新建一个表，随便起个名字，在表中添加一个OLE对象的字段，然后添加一个记录， 插入之前建立的文本文件，如果操作正确的话，应该可以看到一个新的名为"数据包＂的记录。即可

3.数据库名前加"#"

只需要把数据库文件前名加上#、然后修改数据库连接文件（如conn.asp）中的数据库地址。原理是下载的时候只能识别；#号前名的部分，对于后面的自动去掉，比如你要下载：http://www.pcdigest.com/date/# 123.mdb（假设存在的话）。无论是 IE还是FLASHGET等下到的都是http://www.test.com/dat e/index.htm（index.asp、 default.JSP等你在IIS设置的首页文档）

另外在数据库文件名中保留一些空格也起到类似作用，由于HTTP协议对地址解析的特殊性，空格会被编码为"%"，如http ://www.test.com/date/123 ；456.mdb，下载的时http：//www. test.com/date/123 %456.mdb.而我们的目录就根本没有123%456.mdb这个文件，所 以下载也是无效的这样的修改后，即使你暴露了数据库地址，一般情况下别人也是无法下载！

4.加密数据库首

先在选取"工具-> 安全->加密/解密数据库，选取数据库（如：employer.mdb），然后接确定，接 着会出现"数据库加密后另存为"的窗口，存为： employer1.mdb.接着employer.mdb就会被编码，然后存为 employer1.mdb……要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他 人使用别的工具来查看数据库文件的内容。

接下来我们为数据库加密，首先以打开经过编码了的 e mployer1.mdb，在打开时，选择"独占"方式。然后选取功能表的"工具->安全->设置数据库密码"；接着输入密码即可。这样即使他人得到了employer1.mdb文件，没有密码他是无法看到 emplo yer1.mdb的。

加密后要修改数据库连接页， 如：conn.open "driver={microsoft access driver&nb sp；（*.mdb）}；uid=admin；pwd=数据库密码；dbq=数据库路径"这样修改后，数据库即使被人下载了，别人也无法打开（前提是你的数据库连接页中的密码没有被泄露）

但值得注意的是，由于Access数据库的加密机制比较简单，即使设置了密码，解密也很容易。该数据库系统通过将用户输入的 密码与某一固定密钥进行" 异或"来形成一个加密串，并将其存储在*.mdb文件从地址"&H42"开始的区域内。所以一 个好的程序员可以轻松制作一个几十行的小程序就可以轻松地获得任何Access数据库的密码。因此，只要数据库被下载，其信息安全依然是个未知数。

5.数据库放在Web目录外或将数据库连接文件放到其他虚拟目录下

如你的WEB目录是e：\webroot，可以把数据库放到e：\data这个文件夹里，在e：\webroot里的数据库 连接页中修改数据库连接地址为："……/data/数据库名" 的形式，这样数据库可以正常调用，但是无法下载的，因 为它不在WEB目录里！这个方法一般也不适合购买虚拟空间的用户。

6.使用ODBC数据源

在ASP等程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随ASP源代码 的失密而一同失密，例如： DBPath = Server.MapPath（"……/123/ abc/asfadf.mdb "）

conn.open "driver={Microsoft Access Driver&nb sp；（*.mdb）}；dbq="& DBPath可见，即使数据库名字起得再怪异，隐藏的目录再深，ASP源代码失密后，也很容易被下载下来。如果使用ODBC数据源，就不 会存在这样的问题了： conn.open "ODBC-DSN名" ，不过这样是比较烦的，目录移动的话又要重新设置数据源了，更方便的方法请看第7，8法！

7.添加数据库名

如MDB的扩展映射这个方法就是通过修改IIS设置来实现，适合有IIS控制权的朋友，不适合购买虚拟主机用户（除非管理员已经设置了）。这个 方法我认为是目前最好的。只要修改一处，整个站点的数据库都可以防止被下载。无须修改代码即使暴露目标地址也可以防止下载。

我们在IIS属性——主目录——配置——映射——应用程序扩展那里添加。mdb文件的应用解析。注意这里的选择的D LL（或EXE等）似乎也不是任意的，选择不当，这个MDB文件还是可以被下载的， 注意最好不要选择选 择asp.dll等。你可以自己多测试下这样修改后下载数据库如：http://www.test.com/data/dVBbs6.mdb.就出现（404或50 0等错误）

8：使用.net的优越性

动网的木鸟就写过一个防非法下载文件的"WBAL 防盗链工具".具体可以登陆http://www.9seek .com/WBAL/ ；不过 那个只实现了防止非本地下载的 ，没有起到真正的防下载数据库的功能。不过这个方法已经跟5法差 不多可以通过修改。NET文件，实现本地也不能下载！

这几个方法中，只有第7和8个是统一性改的，一次修改配置后，整个站点的数据库都可以防止下载，其他几个就要分别修改数据库 名和连接文件，比较麻烦，不过对于虚拟主机的朋友也只能这样了！

其实第6个方法应该是第5个方法的扩展，可以实现特殊的功能，但对于不支持.net的主机或者怕设置麻烦的话，还是直接用第 5个方法了，而且默认情况下第6个方法，依然可以通过复制连接到同主机的论坛或留言本发表，然后就可以点击下载了（因为这样的引 用页是来自同主机的）

9.利用NTFS分区的文件权限设置（by percyboy）

我们已经知道，ASP.NET 中使用 ADO.NET 访问数据库，通过 OleDb 的连接可以访问 Access 数据库— —我们非常常用的低端数据库之一。

本文讨论了 ASP.net 中可能看到的若干错误提示，从中看到Access 2000 和 Access XP 创建的数据库文件，在访问出现错误时会出现不太相同的错误提示。希望对大家有所帮助。另一个要点是，希望通过此文，使大家对 ASP. NET 中 Access 数据库文件的 NTFS 权限设置有所新的认识。