在网站运行过程中,最糟糕的就是数据库文件被下载。一旦这个核心文件被恶意下载,那么网站几乎就等于将控制权拱手让人了。
下面,提供三种常见的数据库文件安全措施,供读者们参考使用。
1、本机中的数据库安全策略
如果我们能够控制服务器(以xp系统为环境),那么可以使用如下能够彻底避免数据库文件被下载的方法。
步骤1:首先,依次单击“开始”一“管理工具”一“Internet信息服务(IIS)管理器”菜单,打开如图所示的对话框。在这里需要右键单击数据库文件(cib.mdb),在弹出的菜单中选择“属性”。
步骤2:在弹出的对话框中,勾选“重定向到URL”项,并在“重定向”栏中输入当前网站的网址(或任意网址),如图所示。
这样,如果再有人试图用“http://127.0.0.1/db.mdb”文件,那么将自动访问重定向的网址,而不会执行db.mdb这个数据库文件的下载操作。
2、购买空间的安全策略
如果是将数据库文件上传到购买的空间,那么通常需要使用如下方法来防止数据库文件被下载。
这个方法就是把数据库放在Web目录之外。也就是说,不把数据库放在可以直接被访问的Web目录之内,这可以说是最保险的方法。下面,以某个购买的网站空间为例,讲解一下具体实现的方法:
步骤1:首先,使用FTP方式登录到网站的空间根目录下。此时,可以看到有如图所示的多个目录。
步骤2:在这里,Web目录用于存储网站的内容。Db目录就是空间服务商提供的用于存储数据库文件的地方。由于DB这个目录不能被来访者通过URL地址访问到,进而就杜绝了数据库文件被恶意下载的可能。
步骤3:接着,需要在设计网站时将数据库连接文件中的路径指向到db目录。
步骤4:最后,把cib1.mdb文件复制到db目录中就可以了。
3、特殊文件名法
如果购买的网站空间中没有提供DB、Web等目录,那么建议使用更改数据库文件名的方法来实现数据库的安全。
有一些网站认为把数据库文件的扩展名修改为.asp(如123.asp),就可以保障数据库不被下载了,其实这是错误的。在如图所示中可以看到这样的数据库文件,是无法通过IE浏览器浏览的。
但是,这样的asp文件却是可以被下载的,如图所示。
在系统下载文件完成后,只需把文件名再改成mdb,就可以正常使用Access对文件进行编辑了。
显然,我们需要换一种方法。正确的更名做法是在数据库文件名添加#符号,如“#aa.mdb”,这样无论是旧还是迅雷等下载工具都不会将这个文件下载到本地了,如图示。
当然,修改数据库文件名称后,conn.asp这样的数据库路径设置文件中的文件名也需要做相应的修改,如图所示。
通过添加特殊的字符,可以让数据库文件路径即使不�暴露,也能不被恶意下载。通常,数据库文件名会被修改#aa.asp这样的类型,这样既具备了一定的欺骗性,又可以起到很好的防止下载效果。
新闻热点
疑难解答
