虛擬主機ASP/Access的安全對策深入分析(轉)

虛擬主機ASP/Access的安全對策深入分析(轉)[@more@]

　　1.儘量少使用Server.mappath()來取得資料庫的地址，而使用絕對路徑E:wwwrootskjdlkfjsld.mdb。最好使用Server.mappath()取得地址後直接寫在檔案裡面。

　　2.儘量使用複雜的檔案命slkgjopi6lf09eodknvlwoieu9thlvkcs.mdb之類的

　　3.加#號在檔名的前面#slkgjopi6lf09eodknvlwoieu9thlvkcs.mdb，#在HTTP協議中表示結束.比如就會變成但是有一個致命的漏洞,如果用%23代替#的話就可以被下載了,危險

　　4.為副檔名asp,即slkgjopi6lf09eodknvlwoieu9thlvkcs.asp,可是事實證明還是可以被下載,原因是這個asp中不包含,可以透過access資料庫防下載工具處理一下.處理以後把副檔名mdb改為asp。下載地址是

　　5.最好在寫ASP程式碼的時候,把密碼加密以後在寫入資料庫,通用的使用md5演算法.提交表單以後比較的就是加密以後的密文,這樣就可以過濾掉引號的影響。

　　6.把Access檔案加密碼，雖然很容易破解這個密碼，但是仍然有一定的防護作用。儘量使用複雜的密碼。

　　7.在conn.open之前加入on error resume next，這樣可以防止開啟資料庫出錯的時候把錯誤資訊輸出到使用者的瀏覽器。因為這個錯誤可能包括資料庫檔案的路徑。

　　8.可以對ASP頁面進行加密。使用微軟的script Encoder對ASP頁面進行加密。

　　script Encoder的執行程式是screnc.exe，其使用方法如下：

　　screnc [/s] [/f] [/xl] [/l defLanguage ] [/e defExtension] inputfile outputfile

　　其中的引數含義如下：

　　s：遮蔽螢幕輸出；

　　f：指定輸出檔案是否覆蓋同名輸入檔案；

　　xl：是否在.asp檔案的頂部新增@Language指令；

　　l：defLanguag指定預設的指令碼語言；

　　e：defExtension 指定待加密檔案的副檔名。

　　可以批次加密檔案。使用script Encoder可以對當前目錄中的所有的ASP 檔案進行加密，並把加密後的檔案統一輸出到相應的目錄中。例如：

　　screnc *.asp c: emp

　　script Encoder是免費軟體。該加密軟體可以從微軟網站下載：。下載後，執行安裝即可。

　　要注意的是虛擬有的虛擬主機可能不支援加密的asp檔案。

　　

·上一篇：

·下一篇：

最新更新
	· · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·