网站Access数据库安全性的几点技术探讨

石红春

摘要：本文讨论了网站Access数据库的安全性问题，介绍了防止Access数据库被恶意下载的常见方法，对中小型网站数据库的安全管理提供了相应解决方法。

关键词：Access数据库；安全性

1引言

Access数据库具有操作简单、界面友好等特点，是中小型网站数据库的首选。Access数据库在带来便捷的同时，也带来了不容忽视的安全问题。攻击者一旦找到数据库文件的存储路径和文件名，后缀名为“mdb”的Access数据库文件就会被下载，后果不可估量。

2 Access数据库安全性的弱点

Access数据库在安全性方面，其弱点具体表现为：

①安全性不够，用户级密码容易破解；

②并发数为255，对高强度操作适应性差，若服务器配置不高，网络不畅通，编程的方法不佳，多人同时访问就能导致MDB损坏；

③每个数据库文件最大限制只有2G，不适合做大型网站的数据库。

3解决网站Access数据库安全性的常见方法

根据本人在动态网站开发过程中的实际经验，为保障后台数据库的安全，将防止Access数据库被下载的方法归纳如下：

方法一：取复杂的数据库文件名

此方法最省事。若攻击者通过第三方途径获取到数据库的路径，此方法便失效。另外，数据文件通常都较大，起再复杂的文件名也容易分析出来，故保密性为最低。

方法二：数据库名后缀改为asa、asp等

这是最常用的方法。将数据库扩展名更改为asa或asp后，还需配合一些其他的设置才能更安全。如在数据库中新建表，表名任取，在表中添加一个OLE对象的字段，然后添加一个记录，插入事先建好的文本文件(内容为“<％”或者“％>”)。

其原理是：在改名后的库文件中加入“<％”或“％>”，llS就会按ASP语法来解析，就会报告500错误，即可防止下载Access数据库。

方法三：数据库名前加“#”

在数据库文件名前加上#，然后修改数据库连接文件(如：oonnasp)中的数据库地址。其原理是下载的时候只能识别#号前名的部分。对于后面的自动去掉。另外，在数据库文件名中保留一些空格也起到类似作用，由于HTTP协议对地址解析的特殊性，空格会被编码为“％”。即使暴露了数据库地址，一般情况下也无法下载到原始数据库文件。

方法四：加密数据库

首先选取“工具”一“安全”一“加密／解密数据库”，选取数据库(如：datamdb)，单击“确定”，出现“数据库加密后另存为”的窗口，存为：datal mdb。以上的动作对数据库文件加以编码，目的是为了防止他人查看数据库文件的内容。

接下来为数据库加密，先打开经过编码了的datal mdb，选择“独占”方式。然后选取菜单中的“工具一安全一设置数据库密码”，输入密码即可。即使他人得到了datal mdb文件，没有密码就无法看到datal mdb的内容。

加密后要修改数据库连接页，如：corm open“d river=fmicrosoftaccess driver(。mdb)}：uid=admin：pwd=数据库密码；dbq=数据库路径”。

在数据库连接页中的密码没有被泄露的情况下，数据库即使被人下载了，也无法打开。

方法五：数据库放在Web目录外或将数据库连接文件放到其他虚拟目录下

若Web目录是e：＼webroot，可以把数据库放到e＼data文件夹内，在e：＼webroot里的数据库连接页中修改数据库连接地址为：“／data／数据库名”的形式，这样数据库可以正常调用，但无法下载。因为它不在Web目录里!

方法六：使用ODBC数据源

在ASP等程序设计中，如果有条件，应尽量使用ODBC数据源，不要把数据库名写在程序中，否则，数据库名将随ASP源代码的失密而一同被暴露。

如果使用ODBC数据源，就不会存在这样的问题了。但这样处理的结果是：效率很低。速度变慢；迁移也不方便，必须重新设置数据源。

方法七：添加数据库名的(如MDB的)扩展映射

通过修改llS设置来实现，适合有llS控制权的管理员。只要修改一处，整个站点的数据库都可以防止被下载。

在lIS属性—主目录—配置—映射—应用程序扩展那里添加mdb文件的应用解析。选择的DLL(或EXE等)，最好不要选择aspdll。这样别人下载数据库时就出现404或500等错误。

4小结

没有最“安全”，只有更“安全”。因此，增强Access数据库文件的安全性也只是相对的。如果要使网站数据库更加安全，我们就应该考虑选择Sql server等安全性更高的数据库了。