详解Web数据库安全防护策略(2)
[时间:2010-05-07]  [文章来源:上海百络]  [责任编辑:master]

    (4)添加mdb的扩展映射

    IIS对于不能解析的文件类型就会弹出下载对话框让用户下载,我们可以通过在IIS管理器中添加对mdb的扩展映射,防止数据库被下载。其设置方法是:打开IIS管理器定位到相应的Web站点,右键选择“属性”,然后依次点击“主目录→配置→映射”,在“应用程序扩展”里面添加.mdb文件应用解析,至于用于解析它的可执行文件大家可以自己进行选择,只要让攻击者无法访问数据库文件就可以了。

    (5)数据库改造

    思路是将数据库后缀名(.mdb)修改为.asp,然后在数据库中加上一个NotDownLoad的表以防数据库被下载。具体操作方法如下:

    首先新建一个.asp文件(notdown.asp),其代码如下:

    db="DataShop.asp" '这里改成你的数据库地址,这是相对根目录的地址

    set conn=server.createobject("Adodb.Connection")

    connstr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source="&Server.MapPath(db)

    conn.open connstr

    conn.execute("create table notdownload(notdown oleobject)")

    set rs=server.createobject("adodb.recordset")

    sql="select * from notdownload"

    rs.open sql,conn,1,3

    rs.addnew

    rs("notdown").appendchunk(chrB(asc("<")) & chrB(asc("%")))

    rs.update

    rs.close

    set rs=nothing

    conn.close

    set conn=nothing

    然后在服务器端运行notdown.asp,这样在数据库添加了包含notdown字段的notdownload数据表,即可防止数据库的下载,因为notdown有一个值是"< %",asp运行是因缺少"% >"关闭标记而拒绝访问,下载当然会失败。



    [关闭本页]
  关键词:  详解Web数据库安全防护策略(2)
首页 |  局域网监控软件 |  局域网管理软件 |  流量监控软件 |  百络网警用户论坛
Copyright © 2013-2016 NETBAI.COM 上海百络信息技术有限公司 版权所有 E-MAIL:netbai999@126.com
监控软件-征信网认证 监控软件-网警网络110 沪ICP备14015905号-1
监控软件-公安部检测报告 监控软件-360认证 监控软件-瑞星认证 监控软件-金山云安全中心网站安全检测 监控软件-江民安全认证 监控软件-卡巴斯基检测通过 监控软件-小红伞安全认证