ASP+Access系统的安全隐患及对策（2）

对ASP页面进行加密为有效地防止ASP源代码泄露，可以对ASP页面进行加密。一般有两种方法对ASP页面进行加密。一种是使用组件技术将编程逻辑封装入DLL之中；另一种是使用微软的Script Encoder对ASP页面进行加密。笔者认为，使用组件技术存在的主要问题是每段代码均需组件化，操作比较烦琐，工作量较大；而使用Script Encoder对ASP页面进行加密，操作简单、收效良好。

　　Script Encoder方法具有许多优点：

　　1、HTML仍具有很好的可编辑性。Script Encoder只加密在HTML页面中嵌入的ASP代码，其他部分仍保持不变，这就使得我们仍然可以使用FrontPage或Dreamweaver等常用网页编辑工具对HTML部分进行修改、完善，只是不能对ASP加密部分进行修改，否则将导致文件失效。

　　2、操作简单。只要掌握几个命令行参数即可。Script Encoder的运行程序是screnc.exe，其使用方法如下：

　　screnc [/s] [/f] [/xl] [/l defLanguage ] [/e defExtension] inputfile outputfile

　　其中的参数含义如下：

　　s：屏蔽屏幕输出；

　　f：指定输出文件是否覆盖同名输入文件；

　　xl：是否在.asp文件的顶部添加@Language指令；

　　l：defLanguag指定缺省的脚本语言；

　　e：defExtension 指定待加密文件的扩展名。

　　3、可以批量加密文件。使用Script Encoder可以对当前目录中的所有的ASP 文件进行加密，并把加密后的文件统一输出到相应的目录中。例如：

　　screnc ＊.asp c:\temp

　　4、Script Encoder是免费软件。该加密软件可以从微软网站下载：

　　http://msdn.microsoft.com/scripting/vbscript/download/x86/sce10en.exe。下载后，运行安装即可。

　　利用Session对象进行注册验证

　　为防止未经注册的用户绕过注册界面直接进入应用系统，可以采用Session对象进行注册验证。Session对象最大的优点是可以把某用户的信息保留下来，让后续的网页读取。例如，要设计如图1所示的注册页面。

　　设计要求用户注册成功后系统启动hrmis.asp?page=1页面。如果不采用Session对象进行注册验证，则用户在浏览器中敲入“URL/hrmis.asp?page=1”即可绕过注册界面，直接进入系统。利用Session对象可以有效阻止这一情况的发生。相关的程序代码如下：

　　<％
　　’ 读取用户输入的账号和密码 
　　UserID = Request(“UserID”) 
　　Password = Request(“Password”) 
　　’ 检查UserID 及Password 是否正确（实际程序可能会比较复杂） 
　　If UserID <>“hrmis” Or Password <> 
　　“password” Then 
　　Response.Write “账号错误！” 
　　Response.End 
　　End If
　　’将Session 对象设置为通过验证状态 
　　Session(“Passed”) = True 
　　％>  

　　进入应用程序后，首先进行验证：

　　<％ 
　　’如果未通过验证，返回Login状态 
　　If Not Session(“Passed”) Then 
　　Response.Redirect “login.htm” 
　　End If 
　　％>