淺談基于檔案網站的ASP技術安全分析

岳薈

摘 要：本文以淺談基于檔案網站的ASP技術安全分析為重點進行闡述，分別對ASP技術檔案網絡數據庫中數據庫的連接、數據庫的備份與恢復，以及ASP技術檔案網絡開發(fā)與安全設計中的強調用戶在驗證數據時輸入過程的合法性，運用存儲過程與視圖代替SQL查詢語句等內容進行深入探討，旨意為相關研究提供數據參考。

關鍵詞：檔案網站；ASP技術；安全分析

當前，基于信息技術的廣泛應用，很多檔案管理部門都形成具有一定意義的網站資源，合理利用互聯網的良好傳播性能，突破了更多關于檔案管理工作的局限性，進而更順利的為社會提供更優(yōu)質的服務。但是現代化信息資源存在著一定的優(yōu)勢同時，還存在著一定的弊端，因此，如何高效提升網絡檔案管理的安全性，是相關檔案管理部門、網絡開發(fā)部門、相關管理人員重點關注的問題。結合當前檔案網站的一些特性，在網站設計、網站數據庫管理等方面都應該采取正確的技術。

1 基于ASP技術檔案網絡數據庫分析

1.1 數據庫連接

在ASP技術的支持下，檔案網站通常使用IIS+ASP+SQL server/access的結構形式，只有技術人員通過一定的手段獲得數據的存儲途徑與文件名，就能清晰的掌握access數據庫文件內容，主要了解相關程序的人員就可能知道其在地址欄中輸入過URL、xinxi.mdb 等內容，這樣數據庫就被輕易破解。所以對數據的命名都可以使用常規(guī)的命名方法，或者在數據庫命名上增加一定的難度，或者將其分放在幾個不同的目錄下，也可以將擴展名改成asp或mdb文件的方式[1]。經過這樣復雜程序的設定，技術人員再想獲取相關數據庫信息就變得異常困難。此外，要想順利提升數據庫連接的安全性，最好使用ODBC數據源，同時避免數據庫名字出現在程序中。正確規(guī)避相關技術人員由于獲得了源程序以及數據庫名造成ASP源代碼失密或者數據丟失的現象出現，這樣一來，access數據庫信息就會變得透明化。盡管數據庫的文件名再具有一定的難度，數據庫的儲備程度再具有隱藏性，但是如果ASP源代碼失去意義，也會很容易被獲得。但是正確應用ODBC數據源就能有效避免這種現象出現，所以，程序員最好使用ODBC數據源。

1.2 數據庫的備份與恢復

因為檔案網站中大多數數據具有不可隨意篡改性，并且還有大量數據信息需要經常訪問與創(chuàng)新，所以使用數據加強管理與備份的方式才是符合當前網站的變化形式。一些數據庫備份還可以在歸檔的模式下使用，利用歸檔日志可以實現數據庫的恢復。但是因為數據庫文件無法全面同步，因此在將備份文件復制粘貼到數據庫時，必須進行對應的數據庫恢復，這整個過程還可以在數據庫關閉或者數據庫運行時展開。完整性通常在數據庫常規(guī)關閉后進行，因為組成數據庫的所有文件都是處于關閉狀態(tài)，并且文件上的同步信號與當前檢驗步號相同，尚未涉及不同步等問題，所以在前期復制到數據庫備份文件之后階段，可以不進行數據庫恢復過程[2]。數據的恢復不僅有數據庫恢復、數據表恢復、數據結構恢復，還有數據庫、數據表、數據結構的多樣性恢復工作。各個工作環(huán)節(jié)可以還能合理運用系統(tǒng)在正常運行時形成的備份數據包進行對應的恢復。

2 基于ASP技術檔案網站開發(fā)設計安全技術設計

2.1 強調用戶在驗證數據時輸入過程的合法性

因為SQL注入存在著隱含的攻擊性，攻擊人員能夠在輸入過程中導入一些特殊的數據符合，從而可以改變SQL查詢原始目的，導數服務器不得不執(zhí)行惡意的查詢指令，最終造成數據的丟失。因此要想順利抵制SQL注入攻擊，就應該適當的在程序開發(fā)過程中，驗證用戶所輸入的數據是否屬于合適的數據的類型，是否執(zhí)行了安全的預設格式，尤其是郵政編碼、身份證號、電子郵件等這些重要的身份信息數據。或者規(guī)范指定的數據必須作用在某個指定范圍字符的集合中，進而忽略掉星號、引號等特殊字符[3]。

2.2 Inc文件

在檔案網站中，與ASP技術相關的文件數據庫在處理的時候，更多是以代碼的形式出現在Inc文件中，如果ASP文件中應該進行對應的數據庫處理，可以采取在ASP文件前面直接添加有其有關的文件指令即可。但是不法人員向利用搜索引擎對網站頁面進行查找，就會輕易找到Inc文件，導致文件內容被泄漏，網站中數據信息也會隨之泄漏。所以，網站管理人員必須高度重視不良的Inc文件隱患問題，進而結合文件形式采取對應的加密處理，或者直接將Inc文件轉換成asp文件再進行保存，并且設置一定找出障礙，也就是說盡管不法侵入者找到了文件，也無法獲得里面的內容，進而網站的安全性隨之提高[4]。

2.3 Script腳本代碼

在動態(tài)網站的網頁操作過程中，還應該進行交互的操作，尤其是應該對服務器中的數據進行處理操作，通常情況下使用Script腳本代碼工具進行處理，只要將腳本貫穿到htm或html網頁中，用戶就在客戶終端直接進行瀏覽，但是Script腳本代碼就會顯露的明顯。因此在通常情況在最好不要讓Script腳本代碼出現在網頁文件中，將其歸納到單獨的文件中，尤其是對服務器具有直接影響的Script腳本代碼，更應該單獨進行處理，以防將服務器的信息與數據庫信息泄漏給不法人員。

2.4 運用存儲過程與視圖代替SQL查詢語句

因為在存儲過程中，最具有實際意義的優(yōu)勢，就是正確管理存儲過程中的訪問限制問題，如果用戶沒有權限就絕對無法進行訪問，因此只有具備對應的系統(tǒng)權限才是正確管理對應的存儲過程。或者只對存儲過程進行訪問，不對存儲過程中出現的圖表或者視圖進行訪問，只利用存儲過程中給定的特殊功能進行數據庫的間接性操作。為此進一步的提升數據的安全性，在進行程序代碼編寫時應該重點使用存儲過程。

3 結束語

為了穩(wěn)定性的保持網站安全性，在進行網站開發(fā)時，必須重視某些細節(jié)上的安全性，促使用戶在使用檔案網站時能養(yǎng)成良好的安全習慣，有效制止出現不必要的安全隱患。此外，還應該對網站管理人員進行一系列網絡安全知識的培訓，促使網站管理人員樹立正確的安全防范意識與強烈的安全管理意識。通過這樣雙重安全防范工作的進行，正確規(guī)避安全隱患的出現，促使網站能真正實現安全運行。

參考文獻

[1]趙巖.WEB技術在檔案網站建設中的應用[J].遼寧省交通高等專科學校學報，2017，19（05）：25-27.

[2]何保榮，李建榮.基于檔案網站的ASP技術安全分析——兼與梁惠卿先生探討[J].檔案管理，2017（02）：89-90.

[3]張蕊.檔案網站管理研究文獻綜述[J].學理論，2012（21）：155-156.

[4]青妮.簡介基于ASP技術的檔案管理信息系統(tǒng)網站[J].民營科技，2008（04）：120+139.