Access数据库防下载讨论

这个是我从无忧脚本论坛看到的，谈到了很多关于access数据库防下载的各种看法，整理了一下，大家可以看看，相信能解决access被下载的问题！

完整请看：http://bbs.51js.com/viewthread.php?tid=40361

楼主：lovega

给公司做网站，一般都用Access的数据库，但是安全是个问题，一直在找寻一种有效的防下载的方法。名字取复杂就不用说了哈，大家都知道。

5楼：长疯大侠

放到深层目录里、改数据库的后缀，mdb改成ASP，等等

12楼 ：『水手』

同意MDB改ASP,可以做到防下载,同时保证数据库正常使用..小弟以前试过的..

14楼：小白

改为asp后缀后在你得数据库名字上加上一个＃号！这样就不能被探测得！

15楼 ：melop

小白的方法比较好。
比如，如果一个数据库的名称是 #abc, 那么试图下载：
http://localhost/db/#abc 的时候，iis会认为用户要请求/db/的默认页面，并且定位到锚“abc”，所以就下载不了了。

17楼：小白

转成URL编码还不一样的下. 

问题出在如果+了一个#号后你没有办法探测到数据库的asp名字,也就是说你没有办法找到这个数据库,所以你也就找不到url了!

就算找到的也是一个带有#号的url.#后面的将不被服务器解析的!

22楼 ：welunzhu

常用的就是复杂的名字+。ASP来修改数据库名字。就可以啊 。被人下栽？ASP你怎么下。除非你搞破坏。把服务器砰拉。

以上给位之伟见。小弟收拉。谢谢！！！

23楼：fdipzone

1.数据库名前加#
2.数据库文件的后缀改为asp
3.在数据库的表中添加一个字段,类型为ole,打开,输入Response.Redirect "http://www.aspxhome.com"保存

这样就不可能下载

26楼：小强啊

呵呵,放在网站目录外面.用绝对路径连接 

27楼 ：fdipzone

很简单,加#就是IE的描点,可以屏蔽后边的内容,但#的url码是％35
所以把#改为％35之后一样可以下载；改为.asp,服务器会调用asp.dll来解释,所以不能下载,只会在页面上显示数据库的内容,像用记事本打开一样,不过可以将页面的内容保存为*.mdb一样可以恢复为原来的数据库,因此就需用到OLE

在OLE中输入response.Redirect http://www.aspxhome.com  

他一输入数据库的地址就会自动转到别的网站,这样就不可能下载啦,哈哈

28楼 ：ftb

在OLE中输入response.Redirect "http://www.aspxhome.com"
不需要输入这个，输入这个一样没用。其实是要加上<％％>符号,IIS就会按ASP语法来解析，然后就会报告500错误，自然不能下载了。

30楼：AK34

最安全的几个:
A. 放在网站目录以外
B. 设置成odbc
C. 设置数据库目录的访问权限
但如果你不是机主,很可能1和2,3都实现不了...
那么只有方法D:改名一途了吧~``
      对于改名什么的，如果不注意还是会......
请听我说:
      1. 方法:改复杂名字和目录;
          目的:防止猜测
          原理:减少猜中的几率
          后果:一旦被暴库...,数据库马上就Over了
      2. 方法:加特殊字符
          目的:防止被访问和下载
          原理:URL解析转换错误
          后果:如果将字符进行编码转换，仍然不可避免.
          PS:#的ASCII编码是35,但转换后应该是16进制的％23;
      3. 方法:直接改后缀为asp或asa;
          目的:防止下载
          原理:asp程序被服务器解析,不显示下载提示
          后果:但会返回给客户数据库的内容.保存下载就Over了嘛
          PS:方法3如果被人家插入了ASP代码,就变成一个backdoor了

      4. 方法:在3基础上，在数据库里面添加特殊数据.
          目的:防止下载与解释.
          原理:当服务器解析出错的时候,返回给客户的只是错误提示.
                 如何使出错，不用我教吧?提示一种:是将<％存入OLE对象字段里
          后果:大家基本上满意~```:)
       本来到这里可以结束了，但再提示一下:
       方法4:如果被人家插入了特殊构造的ASP代码,也可能变成一个door哦~``
                怎么变?嘿嘿,别问我

        怎么办?哎:将数据库的后缀改成 .config试试看吧~``
        如果能不被下载,那就比较OK的~``
        但有的IIS不行哦  :(

31楼：lijunsh_1973

 呵呵，方法挺多的

1.主要还是不能放开数据库所在的目录的权限。

2.改.mdb成.asp改名的第一个字母前加＃＃至少两个以上，它用ASCII码试也不知道你有几个＃号。

3.如果你的数据库里有好几个表，如果是一个表你增加OLE字段到关键的数据表可行，但是好多表就没必要了。