欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

引子：昨天和animator試驗了一下，把data.mdb文件改名為data.asp文件后放在wwwroot目錄里。然后 在IE中輸入data.asp路徑后，發(fā)現IE顯示一片空白，右鍵->察看源文件，跳出記事本，將內容另存為.mdb文件 ，用ACCESS打開(kāi)，發(fā)現需要密碼，也就是說(shuō)至少文件頭被破壞。 
然后用Flashget試驗下載data.asp文件，并另存為data.mdb文件，發(fā)現用ACCESS打開(kāi)完好無(wú)損?。?！看 來(lái)，好一些編程人員在開(kāi)發(fā)的時(shí)候都認為，改了mdb后綴為asp就能防下載的概念，是錯的！后臺數據庫被下載對于一個(gè)asp+a ccess的網(wǎng)站來(lái)說(shuō)無(wú)疑是一場(chǎng)慘絕人寰的災難。今天找了各方的文章，歸納一下有以下9種辦法防止數據庫被下載;

1.發(fā)揮你的想象力 修改數據庫文件名 
不用說(shuō)，這是最最偷懶的方法，但是若攻擊者通過(guò)第三方途徑獲得了數據庫的路徑)，就玩完了。比如說(shuō)攻擊者本來(lái)只能拿到list權 ，結果意外看到了數據庫路徑，就可以冠冕堂皇地把數據庫下載回去研究了。另外，數據文件通常大小都比較大，起再隱蔽的文件名都瞞 不了人。故保密性為最低。 

2.數據庫名后綴改為ASA、ASP等 

此法須配合一些要進(jìn)行一些設置，否則就會(huì )出現本文開(kāi)頭的那種情況 

(1)二進(jìn)制字段添加(此招我還沒(méi)有煉成-_-+)。 

(2)在這個(gè)文件中加入<%或%>，IIS就會(huì )按ASP語(yǔ)法來(lái)解析，然后就會(huì )報告500錯誤，自然不能下載了?？墒?如果只是簡(jiǎn)單的在數據庫的文本或者備注字段加入<%是沒(méi)用的，因為ACCESS會(huì )對其中的內容進(jìn)行處理，在數據庫里他會(huì )以 < %的形式存在，無(wú)效！正確的方法是將<%存入OLE對象字段里，這樣我們的目的就能達到了。&nbs p;
作方法： 
    首先，用notepad新建一個(gè)內容為 <% 的 文本文件，隨便起個(gè)名字存檔。 
　　接著(zhù)，用Access打開(kāi)您的數據庫文件，新建一個(gè)表，隨便起個(gè)名字，在表中添加一個(gè)OLE對象的字段，然后添加一個(gè)記錄， 插入之前建立的文本文件，如果操作正確的話(huà)，應該可以看到一個(gè)新的名為"數據包＂的記錄。即可 

3.數據庫名前加"#" 
　　只需要把數據庫文件前名加上#、然后修改數據庫連接文件（如conn.asp）中的數據庫地址。原理是下載的時(shí)候只能識別& nbsp;#號前名的部分，對于后面的自動(dòng)去掉，比如你要下載：http://www.pcdigest.com/date/# 123.mdb(假設存在的話(huà)）。無(wú)論是IE還是FLASHGET等下到的都是http://www.test.com/dat e/index.htm(index.asp、default.jsp等你在IIS設置的首頁(yè)文檔)  
　　另外在數據庫文件名中保留一些空格也起到類(lèi)似作用，由于HTTP協(xié)議對地址解析的特殊性，空格會(huì )被編碼為"%",如http ://www.test.com/date/123  ;456.mdb，下載的時(shí)http://www. test.com/date/123 %456.mdb。而我們的目錄就根本沒(méi)有123%456.mdb這個(gè)文件，所 以下載也是無(wú)效的這樣的修改后，即使你暴露了數據庫地址，一般情況下別人也是無(wú)法下載！ 

4.加密數據庫 
　　首先在選取"工具->安全->加密/解密數據庫，選取數據庫（如：employer.mdb），然后接確定，接 著(zhù)會(huì )出現"數據庫加密后另存為"的窗口，存為：employer1.mdb。接著(zhù)employer.mdb就會(huì )被編碼，然后存為 employer1.mdb..要注意的是，以上的動(dòng)作并不是對數據庫設置密碼，而只是對數據庫文件加以編碼，目的是為了防止他 人使用別的工具來(lái)查看數據庫文件的內容。 
    接下來(lái)我們?yōu)閿祿旒用?，首先以打開(kāi)經(jīng)過(guò)編碼了的  e mployer1.mdb，在打開(kāi)時(shí)，選擇"獨占"方式。然后選取功能表的"工具->安全->設置數據庫密碼"，& nbsp;接著(zhù)輸入密碼即可。這樣即使他人得到了employer1.mdb文件，沒(méi)有密碼他是無(wú)法看到 emplo yer1.mdb的。  
　　加密后要修改數據庫連接頁(yè)， 如： 
conn.open "driver={microsoft access driver&nb sp;(*.mdb)};uid=admin;pwd=數據庫密碼;dbq=數據庫路徑" 
　　這樣修改后，數據庫即使被人下載了，別人也無(wú)法打開(kāi)（前提是你的數據庫連接頁(yè)中的密碼沒(méi)有被泄露） 
　　但值得注意的是，由于A(yíng)ccess數據庫的加密機制比較簡(jiǎn)單，即使設置了密碼，解密也很容易。該數據庫系統通過(guò)將用戶(hù)輸入的 密碼與某一固定密鑰進(jìn)行"異或"來(lái)形成一個(gè)加密串，并將其存儲在*.mdb文件從地址"&H42"開(kāi)始的區域內。所以一 個(gè)好的程序員可以輕松制作一個(gè)幾十行的小程序就可以輕松地獲得任何Access數據庫的密碼。因此，只要數據庫被下載，其信息安 全依然是個(gè)未知數。  

5.數據庫放在WEB目錄外或將數據庫連接文件放到其他虛擬目錄下 
　　如你的WEB目錄是e:\webroot，可以把數據庫放到e:\data這個(gè)文件夾里，在e:\webroot里的數據庫 連接頁(yè)中修改數據庫連接地址為："../data/數據庫名" 的形式，這樣數據庫可以正常調用，但是無(wú)法下載的，因 為它不在WEB目錄里！這個(gè)方法一般也不適合購買(mǎi)虛擬空間的用戶(hù)。 

6.使用ODBC數據源。 
　　在A(yíng)SP等程序設計中，如果有條件，應盡量使用ODBC數據源，不要把數據庫名寫(xiě)在程序中，否則，數據庫名將隨ASP源代碼 的失密而一同失密，例如： DBPath = Server.MapPath("../123/ abc/asfadf.mdb ")  
conn.open "driver={Microsoft Access Driver&nb sp;(*.mdb)};dbq="& DBPath  
　　可見(jiàn)，即使數據庫名字起得再怪異，隱藏的目錄再深，ASP源代碼失密后，也很容易被下載下來(lái)。如果使用ODBC數據源，就不 會(huì )存在這樣的問(wèn)題了： conn.open "ODBC-DSN名" ,不過(guò)這樣是比較煩的，目 錄移動(dòng)的話(huà)又要重新設置數據源了，更方便的方法請看第7，8法！ 

7.添加數據庫名的如MDB的擴展映射 
　　這個(gè)方法就是通過(guò)修改IIS設置來(lái)實(shí)現，適合有IIS控制權的朋友，不適合購買(mǎi)虛擬主機用戶(hù)(除非管理員已經(jīng)設置了）。這個(gè) 方法我認為是目前最好的。只要修改一處，整個(gè)站點(diǎn)的數據庫都可以防止被下載。無(wú)須修改代碼即使暴露目標地址也可以防止下載。&n bsp;
　　我們在IIS屬性---主目錄---配置---映射---應用程序擴展那里添加.mdb文件的應用解析。注意這里的選擇的D LL（或EXE等）似乎也不是任意的，選擇不當，這個(gè)MDB文件還是可以被下載的，  注意最好不要選擇選 擇asp.dll等。你可以自己多測試下 
　　這樣修改后下載數據庫如：http://www.test.com/data/dvbbs6.mdb。就出現（404或50 0等錯誤）  

8：使用.net的優(yōu)越性 
　　動(dòng)網(wǎng)的木鳥(niǎo)就寫(xiě)過(guò)一個(gè)防非法下載文件的"WBAL 防盜鏈工具"。具體可以登陸http://www.9seek .com/WBAL/  ; 
　　不過(guò) 那個(gè)只實(shí)現了防止非本地下載的 ，沒(méi)有起到真正的防下載數據庫的功能。不過(guò)這個(gè)方法已經(jīng)跟5法差 不多可以通過(guò)修改.NET文件，實(shí)現本地也不能下載！ 

　　這幾個(gè)方法中，只有第7和8個(gè)是統一性改的，一次修改配置后，整個(gè)站點(diǎn)的數據庫都可以防止下載，其他幾個(gè)就要分別修改數據庫 名和連接文件，比較麻煩，不過(guò)對于虛擬主機的朋友也只能這樣了！ 

　　其實(shí)第6個(gè)方法應該是第5個(gè)方法的擴展，可以實(shí)現特殊的功能，但對于不支持.net的主機或者怕設置麻煩的話(huà)，還是直接用第 5個(gè)方法了，而且默認情況下第6個(gè)方法，依然可以通過(guò)復制連接到同主機的論壇或留言本發(fā)表，然后就可以點(diǎn)擊下載了（因為這樣的引 用頁(yè)是來(lái)自同主機的） 

9.利用NTFS分區的文件權限設置(by percyboy) 
    我們已經(jīng)知道，ASP.NET 中使用 ADO.NET  訪(fǎng)問(wèn)數據庫，通過(guò) OleDb 的連接可以訪(fǎng)問(wèn) Access 數據庫— —我們非常常用的低端數據庫之一。本文討論了 ASP.NET 中可能看到的若干錯誤提示，從中看到&nb sp;Access 2000 和 Access XP 創(chuàng )建的數據庫文件 ，在訪(fǎng)問(wèn)出現錯誤時(shí)會(huì )出現不太相同的錯誤提示。希望對大家有所幫助。另一個(gè)要點(diǎn)是，希望通過(guò)此文，使大家對 ASP. NET 中 Access 數據庫文件的 NTFS 權限設置有所新的認識 。  

(一)實(shí)驗過(guò)程  

為了敘述方便，舉個(gè)具體例子做個(gè)實(shí)驗：應用程序為 /test ，數據庫存放在 D:\wwwr oot\test\data\db1.mdb，我們已經(jīng)知道在 ASP.NET 中是以一個(gè)叫做  ;ASPNET 虛擬用戶(hù)的身份訪(fǎng)問(wèn)數據庫的，我們需要給這個(gè)賬戶(hù)以特定的 NTFS 權限才能 使 ASP.NET 程序正常運行。  

為了得到最嚴格的 NTFS 權限設置，實(shí)驗開(kāi)始時(shí)我們給程序最低的 NTFS 權限 ：  

  a) D:\wwwroot\test\data\ 文件夾的給用戶(hù)ASPNET 以如下權限：  
                         允許  拒絕  
      完全控制   &n bsp;      □   & nbsp;□  
      修改   &nbs p;         &nbs p;□    □  
      讀取及運行   & nbsp;    √    □  ; 
      列出文件夾目錄    ; √    □  
      讀取   &nbs p;         &nbs p;√    □  
      寫(xiě)入   &nbs p;         &nbs p;□    □  

   b) D:\wwwroot\test\data\db1.mdb  文件本身給用戶(hù)ASPNET以如下權限：  
      √ 允許將來(lái)自父系的可繼承權限傳播給該 對象  

1.1  對于某個(gè)只包含有"SELECT"命令的aspx程序，上述權限設置運行時(shí)無(wú)障礙，即：上述權限 已經(jīng)滿(mǎn)足這類(lèi)程序的運行了。  

1.2  對于包含有"UPDATE""INSERT""UPDATE"等命令的aspx程序，  ; 

(a) 如果 db1.mdb 是 Access 2000 創(chuàng ) 建的數據庫，出現如下錯誤：  

"/test"應用程序中的服務(wù)器錯誤。  
---------------------------------------  
Microsoft Jet 數據庫引擎打不開(kāi)文件‘D:\wwwroot\test\data\‘。&n bsp;它已經(jīng)被別的用戶(hù)以獨占方式打開(kāi)，或沒(méi)有查看數據的權限。   
說(shuō)明: 執行當前 Web 請求期間，出現未處理的異常。請檢查堆棧跟蹤信息，以了解有關(guān)該錯誤 以及代碼中導致錯誤的出處的詳細信息。   
異常詳細信息: System.Data.OleDb.OleDbException: Microsof t Jet 數據庫引擎打不開(kāi)文件‘D:\wwwroot\test\data\‘。 它已經(jīng)被 別的用戶(hù)以獨占方式打開(kāi)，或沒(méi)有查看數據的權限。  

(b) 如果 db1.mdb 是 Access XP 創(chuàng )建的 數據庫，出現如下錯誤：  

"/test"應用程序中的服務(wù)器錯誤。  
----------------------------------------------  
操作必須使用一個(gè)可更新的查詢(xún)。  
說(shuō)明: 執行當前 Web 請求期間，出現未處理的異常。請檢查堆棧跟蹤信息，以了解有關(guān)該錯誤 以及代碼中導致錯誤的出處的詳細信息。   
異常詳細信息: System.Data.OleDb.OleDbException: 操作必須使用一個(gè) 可更新的查詢(xún)。  

(c) 原因初步分析：因為包含有"UPDATE""INSERT""UPDATE"等命令，需要對數據庫文件本身進(jìn) 行寫(xiě)入操作，所以上述權限不能滿(mǎn)足此需求，我們需要進(jìn)一步放開(kāi)權限。  

我們放開(kāi)一些權限，  
  a) D:\wwwroot\test\data\ 文件夾不變： & nbsp;

   b) D:\wwwroot\test\data\db1.mdb  文件本身給用戶(hù)ASPNET以如下權限：  
                         允許  拒絕  
      完全控制   &n bsp;      □   & nbsp;□  
      修改   &nbs p;         &nbs p;□    □  
      讀取及運行   & nbsp;    √    □  ; 
      列出文件夾目錄    ; √    □  
      讀取   &nbs p;         &nbs p;√    □  
      寫(xiě)入   &nbs p;         &nbs p;√    □  

1.3  放開(kāi)權限后繼續實(shí)驗，  

(a) 如果 db1.mdb 是 Access 2000 創(chuàng ) 建的數據庫，出現如下錯誤：  

"/test"應用程序中的服務(wù)器錯誤。  
------------------------------------------  
不能鎖定文件。  
說(shuō)明: 執行當前 Web 請求期間，出現未處理的異常。請檢查堆棧跟蹤信息，以了解有關(guān)該錯誤 以及代碼中導致錯誤的出處的詳細信息。   
異常詳細信息: System.Data.OleDb.OleDbException: 不能鎖定文件。& nbsp; 

(b) 如果 db1.mdb 是 Access XP 創(chuàng )建的 數據庫，沒(méi)有出現錯誤。  

(c) 原因初步分析：我們發(fā)現在打開(kāi) Access 數據庫時(shí)，同時(shí)會(huì )在所在目錄生成一個(gè)同名 的 *.ldb 文件，這是一個(gè) Access 的鎖定標記。鑒于此，我們猜測，用戶(hù)  ASPNET 訪(fǎng)問(wèn) Access 數據庫時(shí)，也需要生成一個(gè)鎖定標記，而該目錄沒(méi) 有允許其寫(xiě)入，因此出錯。至于 Access XP 創(chuàng )建的數據庫為什么沒(méi)有這個(gè)錯誤，原因還不 得而知。  

我們進(jìn)一步放開(kāi)權限，  
  a) D:\wwwroot\test\data\ 文件夾給用戶(hù)ASPNET以 如下權限：  
                         允許  拒絕  
      完全控制        □   □  
      修改           □    □  
      讀取及運行   √    □  ; 
      列出文件夾目錄   √    □  
      讀取  √    □  
      寫(xiě)入  √    □  

   b) D:\wwwroot\test\data\db1.mdb  文件本身給用戶(hù)ASPNET以如下權限：  
      √ 允許將來(lái)自父系的可繼承權限傳播給該 對象  

1.4 繼續實(shí)驗，發(fā)現錯誤已解決，那么上面這個(gè)權限就是我們需要放開(kāi)的"最低權限"。  

(a) 如果 db1.mdb 是 Access 2000 創(chuàng ) 建的數據庫，我們會(huì )發(fā)現一個(gè)小問(wèn)題：生成的 *.ldb 文件不會(huì )自己刪除，訪(fǎng)問(wèn)后該文件依然存在，但這個(gè) 問(wèn)題不會(huì )影響 ASP.NET 的正常運行。  

(b) 如果 db1.mdb 是 Access XP 創(chuàng )建的 數據庫，沒(méi)有出現上面類(lèi)似問(wèn)題。  

(c) 原因初步分析：我們僅僅是給了 ASPNET 以寫(xiě)入文件夾的權限，沒(méi)有給它修改的權限 ，所以文件一旦寫(xiě)入，便無(wú)法修改其內容，*.ldb 也就刪除不掉了。  

如果非要解決這個(gè)問(wèn)題，進(jìn)一步放開(kāi)權限為：  
  a) D:\wwwroot\test\data\ 文件夾給用戶(hù)ASPNET以 如下權限：  
                         允許  拒絕  
      完全控制        □   □  
      修改  √    □  
      讀取及運行     √    □  ; 
      列出文件夾目錄    √    □  
      讀取  √    □  
      寫(xiě)入   √    □  

   b) D:\wwwroot\test\data\db1.mdb  文件本身給用戶(hù)ASPNET以如下權限：  
      √ 允許將來(lái)自父系的可繼承權限傳播給該 對象  

1.5  附帶著(zhù)，實(shí)驗另一種情形：我們把 db1.mdb 在 Acce ss 打開(kāi)編輯，同時(shí)訪(fǎng)問(wèn) ASP.NET。  

(a) 如果 db1.mdb 是 Access 2000 創(chuàng ) 建的數據庫，我們發(fā)現并沒(méi)有出現什么問(wèn)題。  

(b) 如果 db1.mdb 是 Access XP 創(chuàng )建的 數據庫，出現如下錯誤：  

"/zhao"應用程序中的服務(wù)器錯誤。  
------------------------------------------------  
不能使用 ‘‘；文件已在使用中。  
說(shuō)明: 執行當前 Web 請求期間，出現未處理的異常。請檢查堆棧跟蹤信息，以了解有關(guān)該錯誤 以及代碼中導致錯誤的出處的詳細信息。   
異常詳細信息: System.Data.OleDb.OleDbException: 不能使用&nbs p;‘‘；文件已在使用中。  

(c) 原因初步分析：Access 數據庫是單用戶(hù)單線(xiàn)程的數據庫，我們在 Access&n bsp;里面打開(kāi)編輯數據庫文件時(shí)其實(shí)是以當前 Windows 用戶(hù)(比如Administrator) 身份打開(kāi)數據庫，而 ASP.NET 默認使用的是 ASPNET 虛擬用戶(hù)（隸屬于  Users 組），級別低于 Administrator，無(wú)法和 Adminis trator "搶奪"權限，所以出現沖突錯誤。至于 Access 2000 忽略 這個(gè)問(wèn)題的情形我們也不必做討論了，可能是 Access 2000 沒(méi)有考慮那么多因素吧。& nbsp; 

1.6  再附帶一種情形：將 db1.mdb 的屬性改為"只讀"，無(wú)論是&nbs p;Access 2000 還是 Access XP 都將分別出現與& nbsp;1.2 中各自的錯誤相同的錯誤提示。  

(二)實(shí)驗結論  

(1) 我們首先再次總結一下 Access 數據庫文件的 NTFS 權 限設置的緣起：  

   在 ASP.NET 中默認是以一個(gè)叫做 ASPNET& nbsp;的虛擬用戶(hù)的身份來(lái)訪(fǎng)問(wèn)、操作數據庫的，你可以在"控制面板"-"管理工具"-"計算機管理"-"本地用戶(hù)和組"-" 用戶(hù)"中看到這個(gè)用戶(hù)，默認情況下是：  

      全名：ASP.NET 計算機帳戶(hù)&nb sp; 
      描述為：用于運行 ASP.NET&nb sp;輔助進(jìn)程(aspnet_wp.exe)的帳戶(hù)。  
      隸屬于：Users組。  

   使用這么一個(gè)隸屬于 Users 組的用戶(hù)來(lái)進(jìn)行文件操作、數據庫操 作的風(fēng)險是要比用一個(gè) Administrators 組的用戶(hù)的風(fēng)險要小得多，這也是 ASP .NET 在安全方面的一個(gè)考慮吧。  

   既然是這么一個(gè)用戶(hù)需要訪(fǎng)問(wèn)、操作數據庫文件本身，那么我們就需要給它一定的  NTFS 權限以允許它的訪(fǎng)問(wèn)。顯然沒(méi)有 NTFS 的權限許可，ASPNET 就無(wú) 法訪(fǎng)問(wèn)、操作數據庫，就會(huì )出現上面實(shí)驗中所看到的那些錯誤了。  

(2) 經(jīng)過(guò)上面的實(shí)驗，我們已經(jīng)知道如下的 NTFS 權限設置是可以滿(mǎn)足一般需求的：&nb sp; 

  a) D:\wwwroot\test\data\ 文件夾給用戶(hù)ASPNET以 如下權限：  
                         允許  拒絕  
      完全控制        □   □  
      修改              □    □  
      讀取及運行    √    □
      列出文件夾目錄 √    □  
      讀取        √    □  
      寫(xiě)入  √    □  

   b) D:\wwwroot\test\data\db1.mdb  文件本身給用戶(hù)ASPNET以如下權限：  
      √ 允許將來(lái)自父系的可繼承權限傳播給該 對象  

同時(shí)我們也注意到 db1.mdb 是否為"只讀"文件對 ASPNET 的訪(fǎng)問(wèn)也會(huì ) 有一定影響。  

(3) 上述權限設置可以直接設置給 ASPNET 用戶(hù)自己，也可以設置給 Use rs 組，或者直接給 Everyone 組上述權限都是可以的。因為 ASPNET  隸屬于 Users 組，可以通過(guò) 用戶(hù)組 給 ASPNET  設置權限。  

(4) NTFS 權限在文件或文件夾右擊后得到的"屬性"對話(huà)框-"安全"選項卡中設置，一般情況下，可 以考慮給 Adminitrators 組以"完全控制"的權限，同時(shí)不要輕易在"拒絕"中打勾，有關(guān)&n bsp;NTFS 權限設置的技巧，可以咨詢(xún)網(wǎng)絡(luò )管理員、網(wǎng)絡(luò )安全專(zhuān)家的建議。  

注：FAT, FAT32 格式的分區中不支持 NTFS 權限。 &nb sp;

(5) Windows 2000 系列，Windows Server  2003 系列的"安全"選項卡默認是很容易找到的，但 Windows XP Pr ofessional 中的"安全"選項卡默認是關(guān)閉的，可以將"控制面板"-"文件夾選項"-"查看"選項卡中的" 高級設置"中"使用簡(jiǎn)單共享（推薦）"一項的"√"去除，"確定"之后，再次按照上面的方法即可看到"安全"選項卡了。&nbs p; 

=========== 
    綜上所述，2、3、4法一起使用，是防止數據庫被下載最基本，最行之有效的方 法，既適用于對服務(wù)器有管轄權的網(wǎng)管，又適用于虛擬主機的用戶(hù)，推薦每一個(gè)制作者同時(shí)必用這三種方法 

    若你對服務(wù)器擁有管轄權，推薦再加上方法9，你的ACCESS數據庫的安全性 就可以大大提高了。