今天再次看到Access數(shù)據(jù)庫安全的文章，每次看到這種文章就想說上兩句，流行說法有幾種：
一、密碼式
　　給數(shù)據(jù)庫起一個隨機(jī)復(fù)雜的名稱，避免被猜到被下載，這種方式在以前很流行，因為大家都對自己的代碼很有自信。但隨著錯誤提示對數(shù)據(jù)庫地址的泄露導(dǎo)致數(shù)據(jù)庫被非法下載，這種方式也就越來越少人用了。
二、"#"式
　　在數(shù)據(jù)庫名稱里加上#號，從URL上請求時#是請求地址和請求參數(shù)的一個分隔字符，如果知道了數(shù)據(jù)庫名，直接請求的話，如：http://www.xx.com/access#.mdb，WEB服務(wù)器會認(rèn)為請求的是access而不是access#.mdb，所以會提示找不到文件，但是很遺憾，URL中對于這些特殊的字符都會有一個特殊的表示方式,#的特殊表示就是%23，如http://www.xx.com/access%23.mdb，那么access#.mdb將會被下載。還有如果用FlashGet之類的下載工具也可以直接下載。
三、ASP式
　　這種作法是比較專業(yè)但也是很安全的也是現(xiàn)在比較流行的作法，但是現(xiàn)在許多的人只是作了一半，只是將數(shù)據(jù)名改成ASP而以，這樣的話直接用FlashGet之類的下載工具一樣可以將數(shù)據(jù)庫下載，這種方式的正確作法有兩步：
　　第一步：在數(shù)據(jù)庫內(nèi)創(chuàng)建一個字段，名稱隨意，類型是OLE對象，內(nèi)容設(shè)置為單字節(jié)型的"<%"，即(ASP代碼chrB(asc("<")) & chrB(asc("%"))的運(yùn)行結(jié)果)
　　第二步：將數(shù)據(jù)庫改名為ASP
　　這樣從URL上直接請求這個數(shù)據(jù)庫將會提示"缺少關(guān)閉腳本分隔符"，從而拒絕下載，因為這個方式比較麻煩我在網(wǎng)上找了一段小代碼來完成OLE對象的插入工作，只要將數(shù)據(jù)庫名設(shè)置好，然后放在和數(shù)據(jù)庫內(nèi)一目錄運(yùn)行一下就可以了。
　　代碼全文數(shù)下：
<%
db="d.mdb" '這里改成您的數(shù)據(jù)庫地址
set conn=server.createobject("Adodb.Connection")
connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath(db)
conn.open connstr
conn.execute("create table notdownload(notdown oleobject)")
set rs=server.createobject("adodb.recordset")
sql="select * from notdownload"
rs.open sql,conn,1,3
rs.addnew
rs("notdown").appendchunk(chrB(asc("<")) & chrB(asc("%")))
rs.update
rs.close
set rs=nothing
conn.close
set conn=nothing
%>
　　這段代碼運(yùn)行完之后將會在數(shù)據(jù)庫內(nèi)生成一個nodownload表，表內(nèi)字段是notdown。如果數(shù)據(jù)庫內(nèi)已有同名的數(shù)據(jù)表存在請將代碼內(nèi)的nodownload改成自己想要的數(shù)據(jù)表名即可。
四、asa式
　　這種方式的真諦是利用IIS對ASA文件的保護(hù)，從而使得數(shù)據(jù)庫文件不能從URL上直接請求下載，但是這種方式被誤解成只要將文件后綴改成ASA就可以了。要知道IIS只是對global.asa這個文件名有請求保護(hù)，所以這種方式只能將數(shù)據(jù)庫名設(shè)置為global.asa，而且要注意的是，設(shè)置成global.asa之后最好不要將其放在主機(jī)或虛擬目錄的根目錄里，不然會被IIS當(dāng)然正常的global.asa文件進(jìn)行嘗試運(yùn)行的。

感覺第三第四種是比較安全的，除非IIS有查看ASP或ASA源碼的漏洞，否則是無法將數(shù)據(jù)庫下載的。