攻略篇:
一、发挥你的想象力 修改数据库文件名,从理论上讲不一定能防止被下载.
修改数据库名,其目的就是防止我们猜到数据库而被下载.
但是万一我们猜到数据库名,就直接可以下载了.所以这不能保证100%不能被下载.
猜解数据库的常用的办法就是写程序去猜解数据库名,判断WEB返回的是不是404错误,如果提交一个MDB文件,没有返回404错误,那就猜对了,就直接下载.
当然这有一定的局限性,因为如果数据库名非常复杂,会产生大量的日志.管理员可能早 发现了.并且还有猜解的时间会变得很长.
二:数据库名后缀改为ASA、ASP等,不一定能防止被下载.
IIS在通过asp.dll处理.asp扩展名文件的时候,对以外的内容,不做任何处理就直接输出,但是MDB文件中如果没有之类的ASP标实符,我们直接在IE中输入URL返回在IE中的数据,就是MDB文件的数据,我们直接用FLASHGET之类的软件就可以下载,下载后改名这后就可以用了.
如图1:
三: 数据库名前加“#”,一定能防止被下载.
有些人误认为:
"只需要把数据库文件前名加上#、然后修改数据库连接文件(如conn.asp)中的数据库地址。原理是下载的时候只能识别 #号前名的部分,对于后面的自动去掉."
这样是比较安全的.这只是对于一般的人无法下载.因为他们不知道,也没有去了解有关IE编码的技术.在编码中我们用%23来代替#号.所以我们如果有一个数据库是:
http://www.xxx.com/data/#datapro.mdb
我们直接在IE中输入:
http://www.xxx.com/data/%23datapro.mdb
就可以下载了.
如图2:
|
相关文章