防止ACCESS数据库被下载的几种方法.docx

防止ACCESS数据库被下载的几种方法
现在大部分网站都使用asp+access构建，这样的话通过下载access数据库简单就可以对 网站进行破坏！而很多的网站都不太重视这些， （、default.]sp 等你在 IIS 设置的首页文档）另外 在数据库文件名中保留一些空格也起到类似作用，由于HTTP协议对地址解析的特殊性，空 格会被编码为"％"，如 ; ,下载的时 http://www. %%，所 以下载 也是无效的这样的修改后，即使你暴露了数据库地址，一般情况下别人也是无法下载！
加密数据库。
首先在选取”工具-＞安全〉加密/解密数据库，选取数据库（如：）,然后接确定， 接着会出现”数据库加密后另存为"的窗口，存为： 被编码，..要注意的是，以上的动作并不是对数据库设置密码，而 只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。 接下来我们为数据库加密，,在打开时，选择”独 占”方式。然后选取功能表的”工具〉安全〉设置数据库密码”，接着输入密码即可。这样即使 他人得到了 ，没有密码他是无法看到emplo 。加密后要修 改数据库连接页，如："driver={microsoft access driver （*.mdb）} ;uid=admin;pwd=^ 据库密码;dbq=数据库路径”这样修改后，数据库即使被人下载了，别人也无法打开（前提是 你的数据库连接页中的密码没有被泄露）但值得注意的是，由于Access数据库的加密机制 比较简单，即使设置了密码，解密也很容易。该数据库系统通过将用户输入的密码与某一 固定密钥进行”异或”来形成一个加密串，并将其存储在*.mdb文件从地址"&H42"开始的区域 内。所以一个好的程序员可以轻松制作一个几十行的小程序就可以轻松地获得任何Access 数据库的密码。因此，只要数据库被下载，其信息安全依然是个未知数。
数据库放在WEB目录外或将数据库连接文件放到其他虚拟目录下。
如你的WEB目录是e:\webroot,可以把数据库放到e:\data这个文件夹里，在e:\webroot里 的数据库连接页中修改数据库连接地址为："../data/数据库名”的形式，这样数据库可以正 常调用，但是无法下载的，因为它不在WEB目录里！这个方法一般也不适合购买虚拟空 间的用户。
使用ODBC数据源。
在ASP等程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序 中，否则，数据库名将随ASP源代码 的失密而一同失密，例如：DBPath = （"../123/ abc/ "） "driver= {Microsoft