例程讲解Web数据库安全防护电脑资料

例程讲解Web数据库安全防护电脑资料　　数据库是Web的命脉，由于者的安全疏漏使得其成为攻击者入侵Web的入口，　　

1、Aess数据库防下载　　数据库被下载这对Web来说几乎是毁灭性的，因为攻击者从中可以获取包括管理员帐户及密码等在内的敏感信息，然后实施进一步的攻击可被下载的数据库主要是Aess数据库，采用这种数据库的Web站点不在少数防止Aess数据库下载，可以从以下几个方面入手　　1数据库改名　　数据库改名包括两部分，首先将其改成比较生僻的名称，建议名字足够长并使用某些特殊字符以防被攻击者猜中另外，将mdb后缀改为asp，以防数据库被下载当然数据库改名后，数据库连接配置文件也要进行修改图1　　2改变数据库路径　　站点系统都有默认的数据库路径，由于安全意识淡薄，部署Web站点时有很多人不去修改数据库路径，因而攻击者很容易地猜到该站点的数据库路径　　更改数据库路径，大家可以在站点目录下创建比较生僻的目录，然后将数据库文件拷贝到该目录中当然，更改数据库路径后，需要修改站点系统的数据库连接文件一般asp站点系统的数据库连接文件是conn.asp打开该文件后，然后根据实际情况进行修改，使得其跟当前的数据库路径相一致图2　　3设置好目录权限　　要设置好数据库目录的访问权限，原则是权限最小化以防止非正常的访问因为Web程序是通过IIS用户运行的，我们只要给IIS用户读取和写入权限，然后通过“IIS管理器”把这个目录的脚本执行权限去掉，防止入侵者在该目录中通过上传获得webshell了图3　　4添加mdb的扩展映射　　IIS对于不能解析的文件类型就会弹出下载对话框让用户下载，我们可以通过在IIS管理器中添加对mdb的扩展映射，防止数据库被下载其设置方法是打开IIS管理器定位到相应的Web站点，右键选择“属性”，然后依次点击“主目录→配置→映射”，在“应用程序扩展”里面添加.mdb文件应用解析，至于用于解析它的可执行文件大家可以自己进行选择，只要让攻击者无法访问数据库文件就可以了图4　　5数据库改造　　思路是将数据库后缀名.mdb修改为.asp，然后在数据库中加上一个NotDownLoad的表以防数据库被下载具体操作...。