数据库在网站的核心,一切的SQL侵入都是冲着数据库来的。一旦网站的数据库被人下载那就算你的数据库是MD5加密,还是可以被人暴力破解
出来。用户的资料丢失,是对自己也是对用户的一种伤害。
那怎么样防止数据库被下载呢。
下面是我从网上摘的一篇文章。
-------------------------------------------------------------------------------------------
防止数据库被下载的几个方法
前言:很多动态站点大量应用了数据库,数据库理所当然成了一个站点的核心文件。一旦数据库被人下载,极有可能被恶意人士破坏网站。或
者窃取资料。实在痛心啊。有什么方法可以防止数据库被人下载呢?
下面提供的的方法分别适用使用虚拟主机空间的用户和有IIS控制权的用户!
一:购买虚拟主机空间的,适合没有IIS控制权
1:发挥你的想象力 修改数据库文件名
这个是最基本的。我想现在也没有多少连数据库文件名都懒得改的人吧? 至于改成什么,你自己看着办,至少要保证文件名复杂,不可猜测性
。当然这个时候你的数据库所在目录是不能开放目录浏览权限的!
2:数据库名后缀改为ASA、ASP等
这个听说很流行,不过我测试了好多次,发现并不理想,如果真正要起到防止下载的作用,要进行一些2进制字段添加等设置,---一句话,繁
而复杂(如果你的数据库有很多的话,这个方法实在不是很好)
3:数据库名前加“#”
只需要把数据库文件前名加上#、然后修改数据库连接文件(如conn.asp)中的数据库地址。原理是下载的时候只能识别 #号前名的部分,对于
后面的自动去掉,比如你要下载:http://www.pcdigest.com/date/#123.mdb(假设存在的话)。无论是IE还是FLASHGET等下到的都是
http://www.pcdigest.com/date/index.htm(index.asp、default.
jsp等你在IIS设置的首页文档)
另外在数据库文件名中保留一些空格也起到类似作用,由于HTTP协议对地址解析的特殊性,空格会被编码为"%",如
http://www.pcdigest.com/date/123 456.mdb,下载的时http://www.pcdigest.com/date/123%456.mdb。而我们的目录就根本没有123%456.mdb
这个文件,所以下载也是无效的这样的修改后,即使你暴露了数据库地址,一般情况下别人也是无法下载!
4:加密数据库
用ACCESS将你的数据库以独占方式打开后,在工具-安全-设置数据库密码,加密后要修改数据库连接页, 如: