两招彻底杜绝网站Access数据库被下载

最新推荐文章于 2025-05-19 22:03:46 发布
原创 最新推荐文章于 2025-05-19 22:03:46 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #access #下载工具 #加密 #db2 #web

Access数据库在中小型WEB项目应用广泛,其安全问题不容忽视,尤其是防止文件被直接下载。网上流传的多数防范方法无效,Access加密机制也脆弱易破解。文中给出两个简单方法,一是本机调试时将mdb文件放WEB主目录外,二是虚拟主机下通过文件合并拷贝生成安全数据库文件。

  目前Access数据库在中小型WEB项目中应用非常广泛,Access数据库的安全问题不容忽视。其中“防止Access数据库文件被直接下载”是核心问题。现在网上流传着N种“防止Access数据库文件被直接下载”的方法,但大多数都是错误的,例如:给mdb文件取个复杂的文件名、在mdb文件加上“#”、把后缀名改成asp、asa等等。

  对于以上的几种防范方法,只要知道mdb文件的URL,用下载工具FlashGet等就能直接下载下来。还有人说可以在Access里设置密码,即使黑客得到数据库也没用。其实Access数据库的加密机制是非常脆弱的,加密后数据库系统通过将用户输入的密码与某一固定密钥进行"异或"来形成一个加密串,并将其存储在*.mdb文件从地址"&H42"开始的区域内。用程序可以轻松的写出破解代码.网上早已有这样的程序了。

  现在我给大家讲一下我的两个非常简单的方法:

1、如果你是本机调试,就是说你能控制网站服务器的IIS,那么很简单,把mdb文件放到WEB主目录的外面。例如,你的WEB目录在D:/WebSite目录下,那么就把数据库保存在D:/根目录下。攻击者再有本事也无法下载。

2、如果你是网上申请的虚拟主机,先把数据库“db.mdb”改成“db.asp”,在写一个文本文件1.txt,内容如下:
<%response.redirect"err.asp" %>
再写一个err.asp文件:
<%response.write"禁止下载数据库!" %>
然后在cmd中输入:
copy db.asp /b + 1.txt/a db2.asp
这条命令的意思是文件合并拷贝,让db.asp以二进制方式、1.txt以ASCII方式拷贝,合成文件为db2.asp。生成的db2.asp就是安全的数据库文件了。无论是用IE还是FlashGet等下载工具均无法下载,只能下载到err.asp。



彻底解析 DDIC_TYPE_INCONSISTENCY:从 ABAP ST22 连环 Dump 到 SE14 一键修复
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
07-07 321
听上去像内核级的致命故障,实则更多源于日常运维的细枝末节。只要掌握的排查三板斧,结合严格的变更流程与周期性的字典体检,再严重的 Dump 也能化险为夷。希望本文的案例与步骤能帮助读者在下一次遇到类似问题时,既能快速止血,也能追根溯源,避免重蹈覆辙。
数据库中心的“相亲现场”:SqlConnection vs OleDbConnection
最新发布
墨夶的博客
09-11 941
SqlConnection和OleDbConnection是数据库连接的两种主要方式,各具特色: SqlConnection专为SQL Server优化,性能强、安全性高,支持异步操作和连接池参数配置(如最小/最大连接数)。 OleDbConnection兼容多种数据库(如Access),但性能较低,需注意驱动兼容性和安全风险。 关键差异: 性能:SqlConnection异步操作更适合高并发场景。 安全:SqlConnection参数化查询可防SQL注入,OleDbConnection需手动加密连接字符串
防止access数据库下载
Priate
02-14 523
  防止access数据库下载1. 首先,用notepad新建一个内容为  接着,用Access打开您的数据库文件,新建一个表,随便起个名字,在表中添加一个OLE对象的字段,然后添加一个记录,插入之前建立的文本文件,如果操作正确的话,应该可以看到一个新的名为"数据包"的记录。即可。 中国2.数据库名前加“#”3.加密数据库conn.open "driver={micr
防止ACCESS数据库下载的9种方法
hamutailangliuxingyu的专栏
08-04 623
1.发挥你的想象力修改数据库文件名 不用说,这是最最偷懒的方法,但是若攻击者通过第三方途径获得了数据库的路径),就玩完了。比如说攻击者本来只能拿到list权,结果意外看到了数据库路径,就可以冠冕堂皇地把数据库下载回去研究了。另外,数据文件通常大小都比较大,起再隐蔽的文件名都瞒不了人。故保密性为最低。  2.数据库名后缀改为ASA、ASP等 此法须配合一些要进行一些设置,否则就会出现本文开头的那种情
mysql数据库下载_防止Access数据库被非法下载的方法比较
weixin_39701834的博客
02-18 233
一、密码式 给 数据库 起一个随机复杂的名称,避免被猜到被下载,这种方式在以前很流行,因为大家都对自己的代码很有自信。但随着错误提示对 数据库 地址的泄露导致 数据库 被 非法 下载,这种方式也就越来越少人用了。 这种 方法 ,已经很少被用到了,除了一、密码式给数据库起一个随机复杂的名称,避免被猜到被下载,这种方式在以前很流行,因为大家都对自己的代码很有自信。但随着错误提示对数据库地址的泄露导致数...
如何在ASP+Access应用中防范mdb文件被下载
木子之井的专栏
12-21 1496
4招防范MDB文件被下载:第一招:尽量取复杂的文件名;第二招:改文件扩展名为ASA或ASP,可以使在IE中无法下载,但如果没有第四招的配合,使用FlashGet等软件同样可以下载;第三招:文件名以“#”开头,可以防止以SQL注入方式猜测文件名;第四招:在数据库中创建一个表,一个字段即可,填入类似的内容,这样当IE或FlashGet解释脚本代码时必定会报错,所以数据库不会被下载
防止ACCESS数据库下载的一个通用解决方法(转)
cuankuangzhong6373的博客
05-27 189
防止ACCESS数据库下载的一个通用解决方法: 在IIS里面Web站点的属性,主目录=》配置=》应用程序影射=》添加随便做一个0字节的dll用来影射mdb文件。明白了吧?dll文件不是可用的ISAPI dll,IIS肯定报错啊...
AccessDatabaseEngine与SQL注入风险防范:守住外部数据源安全边界的5道防线
然而,在另一个看似“古老”却依然广泛存在的技术领域——Microsoft Access数据库系统中,安全问题同样不容小觑。尽管它常被当作小型办公自动化工具或遗留系统的数据存储后端,但正是这种“轻量级=低风险”的错觉,...
AI Agent开发第71课-一个完善的可落地企业AI Agent全架构
打造全国最全的AI Agent开发知识领域的博客
05-19 956
全文介绍了基于当前最新RAG设计理念的企业级知识库引擎架构,这套架构区别于传统的RAG以及一般类RAG,它可以作为一个企业的“知识库中台”来使用同时可以做到零幻觉,是一个企业落地AI的基本要素也是必要前提,文中介绍和总结了大量之前教程中的案例总归纳出了一套完整的企业级精准RAG架构设计最佳实践。
X3BLOG 单用户版 FOR ACCESS 1.0beta 源代码
02-06
<br> 无Session设计杜绝了用户会话无故丢失的尴尬,客户端关联的会话加密方式带来了用户数据的高安全性,独特的XSL结构设计,彻底消除了跨站脚本攻击的隐患,杜绝恶意代码的执行,同时保证了文章内容的完整性。...
asp+access最大的安全隐患在于access数据库可以被别人下载,本文详细介绍如何防止这一问题。...
weixin_30662849的博客
12-22 309
众所周知,asp+access最大的安全隐患在于access数据库可以被别人下载,而现在提供的很多asp空间都是只支持access数据库,这样一来,asp+access的安全问题就显得很突出了。 1.Access数据库的存储隐患 在ASP+Access应用系统中,如果获得或者猜到Access数据库的存储路径和数据库名,则该数据库就可以被下载到本地。 2.Access数据库的解密隐患 由于A...
网站中点击下载Access数据库的代码(总结)
weixin_30340617的博客
02-25 176
Response.ContentType = "application/x-zip-compressed"; Response.AddHeader("Content-Disposition", "attachment;filename=" + urlname + ""); string filename = Server.MapPath("~/PO/Ac...
十大常遇流氓软件完全卸载全攻略
weixin_33701251的博客
12-05 1万+
十大常遇流氓软件完全卸载全攻略 提起流氓软件,可能有些人还比较陌生,其它已经来到你的身边。如何卸载这些软件是让我们非常头痛问题,本文就列举了十大流氓软件的卸载方法供大家参考。 一.3721(现更名阿里巴巴)的卸载 1,使用“开始”-->“程序”--->“3721相关程序的卸载选项”把3721卸载了(上网助手捆绑了3721的)。如果开始菜单...
防止 SQLite 数据库下载的方法
weixin_30929295的博客
07-10 529
将SQLite放在WEB不能访问到的地方。 有些虚拟主机一般也都会提供一个单独目录,供用户放一些不想被下载或访问的文件,所以放在这个目录很安全。 如果PHP是作为CGI或者APACHE的单独进程运行,那么可以修改一下SQLite数据库文件的权限,比如0600。 假如WEB服务器是APACHE,并且支持自定义.htaccess,那么可在.htaccess文件中加入以下内...
5种防止ACCESS数据库下载的方法
feng_sundy 的专栏
05-24 2542
怎样防止mdb数据库下载一直是用access的程序员的一大头疾。现在总结如下有效方法:1. 修改数据库名。这是常用方法,将数据库名该成怪异名字或长名字,以防别人猜测。一旦被人猜到,别人还是能下载数据库文件,但几率不大。如将数据库database.mdb改成dslfjds$^&ijjkgf.mdb等。2. 修改数据库后缀。一般改成database.asp 、database.asa、 databa
如何彻底清除UniAccess Agent
热门推荐
chszs的专栏
08-20 4万+
如何彻底清除UniAccess Agent作者:chszs,转载需注明。博客主页:http://blog.youkuaiyun.com/chszsUniAccess Agent是联软科技公司推出的一款企业网络监控软件。用它可以建立网络准入控制系统yuiji加强桌面电脑的安全管理。UniAccess Agent是出了名的难以卸载。但我无意中发现了卸载UniAccess Agent的好办法。1、登录Ubuntu系
Access数据库:它已经被别的用户以独占方式打开,操作必须使用一个可更新的查询,不能锁定文件
guishuanglin的专栏
05-09 3万+
转自:http://iasp.bokee.com/  笔名:iasp由于网络开发过程,或者一些下载的例子工程一般都用Access数据库,因为它方便不需要服务器,以文件方式就可以访问。Access数据库在使用过程中一般都会遇到这些问题,希望解决正在为此问题困惑的朋友的问题。-------------------------------------------以下是引用内容--------
禁止谷歌浏java.sql.SQLException: Access denied for user 'root'@'localhost' (using password: YES) at com.mysql.cj.jdbc.exceptions.SQLError.createSQLException(SQLError.java:129) at com.mysql.cj.jdbc.exceptions.SQLError.createSQLException(SQLError.java:97) at com.mysql.cj.jdbc.exceptions.SQLExceptionsMapping.translateException(SQLExceptionsMapping.java:122) at com.mysql.cj.jdbc.ConnectionImpl.createNewIO(ConnectionImpl.java:836) at com.mysql.cj.jdbc.ConnectionImpl.<init>(ConnectionImpl.java:456) at com.mysql.cj.jdbc.ConnectionImpl.getInstance(ConnectionImpl.java:246) at com.mysql.cj.jdbc.NonRegisteringDriver.connect(NonRegisteringDriver.java:197) at com.zaxxer.hikari.util.DriverDataSource.getConnection(DriverDataSource.java:138) at com.zaxxer.hikari.pool.PoolBase.newConnection(PoolBase.java:364) at com.zaxxer.hikari.pool.PoolBase.newPoolEntry(PoolBase.java:206) at com.zaxxer.hikari.pool.HikariPool.createPoolEntry(HikariPool.java:476) at com.zaxxer.hikari.pool.HikariPool.checkFa览器更新
05-09
### Java中因密码错误导致的MySQL数据库连接问题解决方案 当遇到 `java.sql.SQLException: Access denied for user 'root'@'localhost'` 错误时,通常表明应用程序尝试通过 JDBC 或其他数据源管理工具(如 HikariCP)连接到 MySQL 数据库时使用的用户名或密码不正确。以下是针对该问题的具体分析和解决办法。 #### 1. 验证数据库用户的密码 确认用于连接数据库的用户 `'root'@'localhost'` 是否具有正确的密码。如果不确定当前密码或者从未设置过密码,则可以通过以下 SQL 命令重置密码: ```sql ALTER USER 'root'@'localhost' IDENTIFIED BY '新密码'; FLUSH PRIVILEGES; ``` 执行完成后重启 MySQL 服务以使更改生效: ```bash sudo systemctl restart mysql ``` 此操作适用于忘记密码的情况[^2]。 #### 2. 检查配置文件中的数据库凭证 确保项目的数据库配置文件(例如 `db.properties` 文件或其他形式的配置文件)中指定的用户名和密码与实际数据库一致。常见的配置项可能如下所示: ```properties jdbc.driver=com.mysql.cj.jdbc.Driver jdbc.url=jdbc:mysql://localhost:3306/your_database_name?useUnicode=true&characterEncoding=UTF-8&useSSL=false&serverTimezone=UTC jdbc.username=root jdbc.password=你的正确密码 ``` 注意:驱动程序名称应为 `com.mysql.cj.jdbc.Driver` 而非旧版的 `com.mysql.jdbc.Driver`,因为后者已被弃用并可能导致兼容性问题[^3]。 #### 3. 更新HikariCP的数据源配置 对于使用 HikariCP 的场景,需验证其配置参数是否匹配实际情况。典型的 Spring Boot 中基于 HikariCP 的配置可以写成这样: ```yaml spring.datasource.hikari.dataSourceClassName=com.mysql.cj.jdbc.MysqlDataSource spring.datasource.hikari.maximum-pool-size=10 spring.datasource.hikari.minimum-idle=5 spring.datasource.hikari.idle-timeout=30000 spring.datasource.hikari.connection-test-query=SELECT 1 spring.datasource.hikari.username=root spring.datasource.hikari.password=你的正确密码 spring.datasource.hikari.jdbc-url=jdbc:mysql://localhost:3306/your_database_name?useUnicode=true&characterEncoding=UTF-8&useSSL=false&serverTimezone=UTC ``` 以上 YAML 格式的配置片段展示了如何适配最新的 MySQL Connector/J 和时间区域选项[^3]。 #### 4. 测试独立连接 为了排除代码逻辑之外的因素干扰,在终端直接测试能否成功建立连接也是一种有效手段。命令行方式如下: ```bash mysql -u root -p -h localhost Enter password: ``` 输入相应密码后看是否能够正常进入 MySQL 控制台。如果仍然无法登录则进一步排查网络权限等问题[^1]。 --- ### 总结 综上所述,要彻底解决问题需要依次完成以下几个方面的工作:一是校正应用端所提供的认证资料;二是必要时候调整目标主机上的账户属性直至两者完全吻合为止。只有这样才能从根本上杜绝此类异常的发生。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值