ASP+Access數據庫的18條安全法則:
1.首先�����,我們需要過(guò)濾所有客戶(hù)端提交的內容,其中包括?id=N一類(lèi),另外還有提交的html代碼中的操作數據庫的select及asp文件操作語(yǔ)法,大家可以把提交的字符轉義,然后再存入數據庫���。
2.然后需要對訪(fǎng)問(wèn)Access數據庫的頁(yè)面進(jìn)行授權,針對顯示數據頁(yè)面只能使用select語(yǔ)句,過(guò)濾其他的update,asp文件則分為許可訪(fǎng)問(wèn)數據庫頁(yè)面和限制訪(fǎng)問(wèn)頁(yè)���。
3.修改數庫據連接文件名conn.asp為類(lèi)似123ljuvo345l3kj34534v.asp文件����。
4.修改數據庫名為類(lèi)似q397d0394pjsdlkfgjwetoiu.asp文件�。
5.給Access數據庫加上連接密碼(雖然可以破解,對付菜鳥(niǎo),和防止上傳文件無(wú)限制連接數據庫)���。
6.用Access軟件對數據庫進(jìn)行編碼加密���。
7.用md5等加密算法加密用戶(hù)密碼,密碼提示問(wèn)題一類(lèi)的字段�。
8.限制搜索引擎對相關(guān)頁(yè)面的搜索�����。
9.防止數據庫被下載工具下載,如在數據庫里加入等防止向客戶(hù)端輸出的語(yǔ)句����。
10做好asp上傳文件模板的安全管理,防止上傳asp木馬��。
11.拒絕客戶(hù)端訪(fǎng)問(wèn)數據庫存連接文件,只準服務(wù)器asp文件訪(fǎng)問(wèn)�����。
12.限制同一客戶(hù)端ip訪(fǎng)問(wèn)數據庫次數�。
13.如果有必要對存入數據庫的內容進(jìn)行加密,返回給客戶(hù)端進(jìn)行解密,就算數據庫被下載了,也不可能輕易得到加密的原始內容���。
14.對連接服務(wù)的頭內容進(jìn)行限制,如只許可IE訪(fǎng)問(wèn)�。
15.防止通過(guò)文件查看方式,得到數據庫信息,可用客戶(hù)端輸入密碼,對密碼和內容,用一定算法存入數據庫,輸出時(shí),讓客戶(hù)端輸入密碼,對內容進(jìn)行解密�。
16.你可以把表名和字段名改為aslkejrwoieru,werkuwoeiruwe類(lèi)似的字符����。
17.防止在數據庫里加入讓改名為.asp的數據執行,可轉義代碼等讓asp執行出錯的內容�����。
18.最后需要注意的是����,最好用odbc連接數據庫,并要加上連接的密碼����。
蘇公網(wǎng)安備 32070502010230號