有關ASP+ ACCESS網站安全的思考

摘要：文章著重論述了網站維護的過程中，尤其是針對ASP+ACCESS網站安全的一些個人的思考。

關鍵詞：網站安全；數據庫；防護

一、引言

在高校中，簡單的ASP+ACCESS網站仍是大多數人的選擇。ASP作為一種較簡單的編程語言，一來網上的資源比較多，二來在維護起來也比較方便，ACCESS就更容易了，它等于是數據庫的入門級，條目清楚，結構簡便，但是這種方便就帶來了安全的隱患，如何保證后臺數據庫的安全，我們需要好好的思考一下。

二、保護ACCESS數據庫的幾種方法

（一）通過更優化的命名方法

目前，黑客只要通過查找網站中固定的幾個文件，如conn.asp，inc/conn.asp，就可以從中查找到有關.mdb的信息，稍微對應一下目錄，就可以將整個數據庫完整的下載下來，這樣，我們對數據庫的安全就無從說起。有些人為了好記，通常會將數據庫的中文意思，按照大寫字母的順序進行命名，如“人事系統”，會命名為rsxt.mdb，或者干脆為了方便，直接命名為data.mdb，123.mdb，另外，存放數據庫的文件夾的命名，一般以data，database居多，并且將其放在主目錄下面，很容易找到，更安全的做法是將它藏得深一點，放置在主目錄下的多層目錄中，命名也復雜一點為好。

在數據庫連接文件conn.asp中常常出現下例：

DBPath=Server.MapPath（“abbkeitu／kjh44w1／ddc／apke?。痜ass9228ba1．mdb”）conn.　Open”driver={Microsoft　Access　Driver?。ā?mdb）}；dbq=”＆　DBPath

這個mdb文件的命名真是復雜啊，但是如果conn.asp被下載了，找到這個數據庫是非常容易的事，所以可以的話，還是利用ODBC數據源，即使conn.asp被盜，也只能得到數據源的名字而非原始數據庫的名字。

（二）讓寫入ACCESS的數據進行加密

不知道大家發現沒有，有些ACCESS字段，如password，會是一串經過加密后的文字，看也看不懂，這是怎么做到的呢？現今經常采用的是md5的加密算法，此算法將你原始的密碼，進行一系列比對，轉換，再寫入數據庫，這樣做的好處是，正向算法不算太麻煩，但是逆向去推卻是不可能的，最大程度上保障了用戶密碼的安全。

（三）改變一下放置數據庫的位置

在被黑客攻擊過幾次后，我做過如下嘗試，就是將數據庫的位置搬到wwwroot外面來。設置主web服務器和備份服務器，data文件夾和wwwroot文件夾為同一級，備份服務器只限于單位內訪問，所有的后臺添加全部在備份服務器上完成，通過定時的備份文件，將備份服務器的數據傳送至主web服務器上，主web服務器上關掉所有后臺添加的入口，經過這樣的處理過后，主web服務器再也沒被攻擊過。

（四）提防網頁掛馬

現在的黑客真是無孔不入，令人很頭疼，網頁掛馬這種現象也出現過一次，亂七八糟的代碼寫在每個asp文件的后面，也有代碼寫入了ACCESS數據庫。要防止這種情況，首先要做的就是備份數據庫。有些網站要放在外面租用的空間上，那FTP上傳文件的密碼也要設得復雜一些，最好10位20位的。網頁被掛馬說直接點，大部分是網頁代碼的問題，黑客可以利用特定的參數向數據庫中寫入掛馬鏈接，另外，上傳附件如要求不嚴格的話，也極易造成漏洞，讓黑客上傳了木馬文件，導致整個網站面目全非。因此，要提防網頁掛馬，就是要仔細比對網頁代碼，不要留下特別明顯的漏洞，關閉掉web服務器上不用的端口及服務程序，要用的時候再一個一個的開，有條件的話，在web服務器上裝網頁防篡改系統，又給了網站另一層保護。

（五）殺毒軟件要經常更新

這是最基本的一點，web服務器上肯定要裝上殺毒軟件，保持殺毒軟件保持在最新的狀態，定期對服務器進行全面掃描，將木馬啊，病毒啊及時的查找出來。防火墻也是必要的手段，一般來講，在服務器上都會裝上硬件防火墻，它的功用大大超過軟件防火墻。

三、結語

網站的安全，在很大程度上，不僅僅是技術的問題，更大程度上，是管理的問題，對網站進行合理有序的管理與維護，是我們網絡安全管理員必須要做的。隨著社會的進步，網站的管理手段也會越來越好，有更好的管理軟件，我們要善于利用去做好網站的防護。

參考文獻：

[1]劉文才；袁媛.也談提高ASP+Access網站數據庫安全性對策[J].科技與生活，2009（21）.

（作者簡介：陳杏黎（1981-），女，江蘇南通人，南通航運職業技術學院現代教育技術中心助理實驗師。）