現在大部分網站都使用ASP+access構建,這樣的話通過下載Access數據庫簡單就可以對網站進行破壞! 而很多的網站都不太重視這些,比如數據庫文件名是data.mdb等 。
而又有一部分人認為把數據庫的擴展名改成.asp就萬事大吉了, 其實不然!大家可以做個試驗 ,在自己的機器上把mdb改成asa或者asp 然後用任何一種下載工具下載,下載之後再把文件名改成.mdb 文件照樣可以用!道理很簡單!iis只執行<% %>內的內容,而mdb文件單純的修改擴展名只會讓IIS錯誤的以txt方式顯示出來 你可以看見,如果在浏覽器執行***.ASP(注意:這個是mdb數據庫)就會看見一大堆亂碼,和你用記事本打開看見的一樣!
防止數據庫被下載的方法就有4種:
1:在數據庫新建一個表,表名為<%safe就可以了 ,這樣IIS在解析的時候會出現500錯誤,數據庫也就下載不了了!
2:在你的數據庫文件名後門加上# (不是擴展名,比如name#.mdb)這樣IIS就以為你是在請求該目錄中默認的文件名,比如index.ASP,如果IIS找不到就會發出403禁止浏覽目錄的錯誤警告!
3:在IIS中是把數據庫所在的目錄設為不可讀,這樣就可以防止被下載!請放心,這樣做不會影響ASP程序的正常使用!!
4:直接使用數據源 (ODBC)這樣數據庫就可以不用在web目錄裡面,從而徹底防止被下載,但是這樣做你必須擁有服務器的管理員權限,哈哈,大部分虛擬主機用戶是不可能用數據源 (ODBC)的!