一��、新手常犯的錯誤
在論壇看到很多帖子代碼中都有一個共同的基本錯誤,字段類型錯誤���。
程序和數據庫是緊緊相連的,數據庫字段文本型或時間型的都使用單引號
比如下面這段修改語句:
conn.execute "update Counts set counts='"&counts&"' where num="&num&" and Atime='"&now()&"'"
等號左邊都是字段名�,等號右邊是傳值過來的變量名�����,counts 字段是文本型,所以寫入時必須前后加單引號����,無論是寫入還是查詢都一樣����,后面的查尋語句中�����,num 字段是數字型����,所以前后就沒有單引號了��,Atime 字段是時間型所以前后也要加單引號���。
最重要的是以ID查詢���,ID字段是唯一的并且數字類型�,很明顯查詢ID號時前后也不能有單引號
conn.execute "update Counts set counts='"&counts&"' where id='"&id&"'" '錯誤寫法
conn.execute "update Counts set counts='"&counts&"' where id="&id '正確寫法
二����、ACCESS 數據庫連接
通常數據庫連接有兩種方式���,新手基本不知道用哪一種方式����,或者在什么情況下用哪一種����,又或者不知道兩者的原理
①直接連接數據庫文件
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ="&Server.MapPath("database/yanhang.mdb")
②通過數據源來連接數據庫文件
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source="&Server.MapPath("database/yanhang.mdb")
那么�,兩者到底哪一個好呢,當然是第二種��,因為第一種其實就是客戶端瀏覽器直接讀取數據庫的��,所以安全方面差很多�,第二種通過數據源連接����,是以服務器數據源工具連接的,與客戶端沒關系���,所以數據庫不會暴露給客戶端,安全系數高很多��。
ACCESS 數據庫對應程序的應用:①直接連接數據庫文件
conn.Open "DRIVER={Microsoft Access Driver (*.mdb)}; DBQ="&Server.MapPath("database/yanhang.mdb")
這樣的數據庫連接方式���,添加語句:
set rs=server.createobject("adodb.recordset") '(正確寫法)
rs.open "select * from dndj",conn,1,3
rs.addnew
rs("bh") = bh
rs("bm") = bm
rs("xm") = xm
rs("xsq") = xsq
rs.update
rs.close
set rs=nothing
set rs=server.createobject("adodb.recordset") '(錯誤寫法)
sql="insert into dndj(bh,bm,xm,xsq) values('bh','bm','xm','xsq')"
rs.open sql,conn,1,3
ACCESS 數據庫對應程序的應用:②通過數據源來連接數據庫文件
conn.Open "Provider=Microsoft.Jet.OLEDB.4.0; Data Source="&Server.MapPath("database/yanhang.mdb")
這樣的數據庫連接方式��,添加語句:
conn.execute "insert into dndj(bh,bm,xm,xsq) values('"&bh&"','"&bm&"','"&xm&"','"&xsq&"')" '(正確寫法)
set rs=server.createobject("adodb.recordset") '(錯誤寫法)
sql="insert into dndj(bh,bm,xm,xsq) values('bh','bm','xm','xsq')"
rs.open sql,conn,1,3
三�����、雙引號的應用
通常我們寫超級連接這樣 <a href="abc.asp?id=<%=rs("id")%>">超級連接</a>
但要是把這個超級連接編譯進asp里面呢
response.write "<a href=""abc.asp?id="&rs("id")&""">超級連接</a>" '(正確寫法)
response.write "<a href='abc.asp?id="&rs("id")&"'>超級連接</a>" '(正確寫法)
response.write "<a href=abc.asp?id="&rs("id")&">超級連接</a>" '(正確寫法)
response.write "<a href="abc.asp?id=<%=rs("id")%>">超級連接</a>" '(錯誤寫法)
response.write "<a href="abc.asp?id="&rs("id")&"">超級連接</a>" '(錯誤寫法)
表單編譯進asp里 <input type="text" name="id" value="<%rs("id")%>" />
response.write "<input type=""text"" name=""id"" value="""&rs("id")&""" />" '(正確寫法) 注意:這里有三個雙引號
response.write "<input type='text' name='id' value='"&rs("id")&"' />" '(正確寫法)
response.write "<input type=text name=id value="&rs("id")&" />" '(正確寫法)
response.write "<input type="text" name="id" value="<%=rs("id")%>" />" '(錯誤寫法)
response.write "<input type="text" name="id" value=""&rs("id")&"" />" '(錯誤寫法)
四�、防止ACCESS數據庫被下載的幾個方法
很多動態站點大量應用了數據庫,數據庫理所當然成了一個站點的核心文件。一旦數據庫被非法下載,極有可能被惡意人士破壞網站����?���;蛘吒`取資料�����。
下面提供的方法分別適用使用虛擬主機空間的用戶和有IIS控制權的用戶�!
一:購買虛擬主機空間的�����,適合沒有IIS控制權
1:發揮你的想象力 修改數據庫文件名
這個是最基本的����。我想現在也沒有多少連數據庫文件名都懶得改的人吧���? 至于改成什么�,你自己看著辦,至少要保證文件名復雜,不可猜測性。當然這個時候你的數據庫所在目錄是不能開放目錄瀏覽權限的�����!
2:數據庫名后綴改為ASA��、ASP等
這個聽說很流行��,不過我測試了好多次,發現并不理想,如果真正要起到防止下載的作用�����,要進行一些二進制字段添加等設置�,一句話�,繁而復雜(如果你的數據庫有很多的話,這個方法實在不是很好)
3:數據庫名前加“#”
只需要把數據庫文件前名加上#�、然后修改數據庫連接文件(如conn.asp)中的數據庫地址���。原理是下載的時候只能識別 #號前名的部分����,對于后面的自動去掉�����,比如你要下載:http://bbs.bccn.net/date/#123.mdb(假設存在的話)�����。無論是IE還是FLASHGET等下到的都是http://bbs.bccn.net/date/index.htm
另外在數據庫文件名中保留一些空格也起到類似作用�,由于HTTP協議對地址解析的特殊性���,空格會被編碼為"%20",如http://bbs.bccn.net/date/123 456.mdb
下載時http://bbs.bccn.net/date/123%20456.mdb���。而我們的目錄就根本沒有123%20456.mdb這個文件��,所以下載也是無效的���,即使你暴露了數據庫地址�����,一般情況下別人也是無法下載��,最好兩種方法同時使用“#”+空格���,例如 http://bbs.bccn.net/date/#123 456.mdb
4:加密數據庫
用ACCESS將你的數據庫以獨占方式打開后�,在工具-安全-設置數據庫密碼�����,加密后要修改數據庫連接頁��, 如:
conn.open "driver={microsoft access driver (*.mdb)};uid=admin;pwd=數據庫密碼;dbq=數據庫路徑"
這樣修改后,數據庫即使被人下載了�,別人也無法打開(前提是你的數據庫連接頁中的密碼沒有被泄露)
但值得注意的是�����,由于Access數據庫的加密機制比較簡單,即使設置了密碼����,解密也很容易����。該數據庫系統通過將用戶輸入的密碼與某一固定密鑰進行“異或”來形成一個加密串���,并將其存儲在*.mdb文件從地址“&H42”開始的區域內���。所以一個好的程序員可以輕松制作一個幾十行的小程序就可以輕松地獲得任何Access數據庫的密碼�。因此,只要數據庫被下載�,其安全依然是個未知數���。
二:有主機控制權 (當然虛擬空間的設置在這里依然可以用)
5:數據庫放在WEB目錄外
如你的WEB目錄是e:\webroot,可以把數據庫放到e:\data這個文件夾里�����,在e:\webroot里的數據庫連接頁中
修改數據庫連接地址為:"../data/#123 456.mdb" 的形式�����,這樣數據庫可以正常調用���,但是無法下載的���,因為它不在WEB目錄里��!這個方法一般也適合購買虛擬空間的用戶。
6:使用ODBC數據源��。
在ASP等程序設計中����,如果有條件�,應盡量使用ODBC數據源�����,不要把數據庫名寫在程序中����,否則�,數據庫名將隨ASP源代碼的失密而一同失密
例如:
conn.open "driver={Microsoft Access Driver (*.mdb)};dbq="&Server.MapPath("../123/abc/asfadf.mdb")
可見,即使數據庫名字起得再怪異�,隱藏的目錄再深�����,ASP源代碼失密后�����,也很容易被下載下來��。
如果使用ODBC數據源,就不會存在這樣的問題了:conn.open "ODBC-DSN名" ,不過這樣是比較煩的�,目錄移動的話又要重新設置數據源了��!
7:添加數據庫名的如MDB的擴展映射
這個方法就是通過修改IIS設置來實現,適合有IIS控制權的朋友,不適合購買虛擬主機用戶(除非管理員已經設置了)���。這個方法我認為是目前最好的。只要修改一處,整個站點的數據庫都可以防止被下載��。無須修改代碼即使暴露目標地址也可以防止下載��。
設置:
在 IIS屬性---主目錄---配置---映射---應用程序擴展那里添加.mdb文件的應用解析����。注意這里的選擇的DLL(或EXE等)似乎也不是任意的��,選擇不當����,這個MDB文件還是可以被下載的����, 注意最好不要選擇選擇asp.dll等。你可以自己多測試下
這樣修改后下載數據庫如:http://bbs.bccn.net/data/dvbbs6.mdb����。就出現(404或500等錯誤)
8:使用.net的優越性
動網的木鳥就寫過一個防非法下載文件的“WBAL 防盜鏈工具”��。記得本論壇曾經也有位牛人也發表過數據庫防下載的插件,是.dll的加載到IIS里的。
不過 那個只實現了防止非本地下載的 ���,沒有起到真正的防下載數據庫的功能��。不過這個方法跟第5種差不多
可以通過修改.NET文件�����,實現本地也不能下載!
這幾個方法中����,只有第7和8個是統一性改的����,一次修改配置后����,整個站點的數據庫都可以防止下載,其他幾個就要分別修改數據庫名和連接文件�����,比較麻煩����,不過對于虛擬主機的朋友也只能這樣了����!
其實第6種方法應該是第5種方法的擴展�����,可以實現特殊的功能,但對于不支持.net的主機或者怕設置麻煩的話���,還是直接用第5種方法了,而且默認情況下第6種方法����,依然可以通過復制連接到同主機的論壇或留言本發表����,然后就可以點擊下載了(因為這樣的引用頁是來自同主機的)
這幾個方法各有長短�,請自己選擇性地使用。這些方法也不是絕對的安全����,還需要網站管理員平時注意一些系統的安全�����,以及寫ASP代碼本身的安全 ,否則依然有可能被人下載或者修改數據庫��!
該文章在 2011/2/16 12:00:52 編輯過
400 186 1886
