admin 管理员组

文章数量: 1184232


2024年5月18日发(作者:手机ppt制作软件全模板免费)

2009年第38期 

(总第114期) 现代企业文化 

MODERN ENTERPRISE CU删RE 

NO.38,2008 

(CumulativetyNO.1 14) 

ASP+Access数据库安全存在的问题及对策 

杨书清1. 

(1.中国海洋大学信息工程学院,山东青岛266003;2.青岛飞洋职业技术学院,山东青岛266111) 

摘要:ASP+Access已被许多中小型局域网所应用。但 

例如:对于网上书店的Access数据库,人们一般命名为book. 

ASP+Access在为我们带来便捷的同时,也带来了许多不容忽视 

mdb、store.mdb等,而存储的路径一般为“ARL/database”或干 

的安全问题。文章结合实际首先剖析了ASP与Acess的数据库存 脆放在根目录“URU”下。这样,只要在浏览器地址栏中敲入 

在的安全问题,然后在此基础上提出了相应的对策。 

关键词:ASP+Access;安全隐患;数据库 

地址:“URIJdatabase/store.mdb”,就可以把store.mdb下载到本地 

的机器中,通过查看数据库就可以很轻松地破解站点,如果被 

中图分类号:F120.3 文献标识码:A 

文章编号:1674-1145(2009)一02—0119—02 

ASP是微软公司最新推出的动态服务器页面技术,全称为 

ASP(Active Server Pa 。也是微软公司最新推出的WEB应用 

下载的“*.mdb”中含有“用户权限表”,那每位合法用户名及 

其密码同样被公布天下,非法入侵者就可以对Web server为所欲 

为。 

(二)Access的加解密隐患 

当数据库被下载后,如果数据库进行加密,也许其机密内 

开发技术,着重处理动态网页和WEB数据库的开发,其利用在 容不容易被窃取、但Access数据库的加密机制相对很简单。所 

普通HTML文件中插入VBSCRIPT和JAVASCRIPT脚本语言,主 

以即使数据库设置了密码破解也非常容易。该数据库系统通过 

要在服务器端进行解释执行,编程简洁灵活,具有较高的性能, 

将用户输入的密码与某一固定密钥进行异或来形成一个加密码, 

是目前访问WEB数据库的最佳选择。 

并将 .mdb文件存储在地址“&H42”开始的区域内。由于异或 

操作的特点是“经过两次异或就恢复原值”,因此,用这一密钥 

与 .mdb文件中的加密串进行第二次异或操作,就可以轻松地得 

ASP+Access数据库安全存在的问题 

(一)Access的存储隐患 

ss数据库的密码。基于这种原理,可以很容易地编制出 

在ASP+Access应用系统中,如果获得或者猜到Access数据 

到Acce

库的存储路径和数据库名,则该数据库就可以被下载到本地。 

解密程序。由此可见,无论是否设置了数据库密码,只要数据 

对焊缝均匀地敲击或振动,使其产生塑性延伸变形,以抵消焊 

缝冷却后承受的局部拉应力和变形。 

(三)焊接质量的控制 

3.采用热装配工艺,先把20#机油15kg ̄1人油盆中,注意 

机油一定要埋过定轮,再将油盆用火加热至80。C左右。 

4.第一步组装单个定轮;选配好的定轮放到机油盆中进行 

该闸门所有组合焊缝均为上等级一、二类焊缝,技术要求 

加热,加热15~2O分钟,用专用工具将定轮夹出,把配合好轴 

焊透,施焊时注意观察熔池熔化状况,要保证根部及两侧能充 承快速压入定轴孔中的一端,再将衬套压人定轮中,然后用同 

样的方法将另一端的轴承快速压人定轮子L中,组装其余附件。 

5.定轮、轮轴在门叶边梁上装配,首先将定轮放入机油盆 

五、门叶关键加工点的实施 

闸门焊接完毕后,经过矫正,切割去除多余边缘,统一放 

中进行加热15~2O分钟后,快速用专用工具取出,放入边梁定 

出基准中心线,按基准中心线分向两侧画出止水螺栓孔位线, 

轮槽的部位中,然后将定轮轴快速推入加热后的定轮中至装配 

用水平仪和钢板尺画出止水座板9nq-高度线,用经纬仪和钢卷 

位置,两端装上密封圈,最后将两侧的端盖用螺栓拧固在定轮 

侧端面上。 

尺画出定轮轴孔直径加工线,并用样冲打上标记。 

分熔化。 

六、定轮装配工艺 

1.定轮的主要参数和配合关系见表狱。 

6.最后将装配好的单个定轮装置,按顺序用螺母和法兰装 

置固定到闸门的边梁定轮轴孑L处。 

7.所有定轮装配在门叶上后,经检验不卡阻、抖动现象, 

转动均匀,定轮面共面度不大于公差要求1.5mm。 

表1定轮的主要参数和配合关系 

定轮组成 轮轴、衬套、调心滚子轴承、i芒轮、轴承 压环和密封 及附件 

调心滚子轴承 尺寸I 巾360/200mR 数量 24个 

七、结语 

通过采取严格的科学质量管理和先进的工艺技术管理措施, 

使闸门在整个制造过程中都于受控状态,确保了质量。经设计、 

监造、安装三方验收,认为闸门制加工工艺措施得当,质量制 

度建全,闸门的各项指标均达到了设计及 

门制造安装及验收规 

轴与衬套为间隙配合,最大间隙:0.IOmm,最小间隙:0.05mm 

配合关系 衬套与轴承内径为过渡配合,最大过盈:0.O4正一 

轴承外径与定轮为过渡配合.最大过盈:0.IOn 

利水电工程钢闸 

2.准备工作;对定轮、轴承、衬套、偏心套、轮轴一一进 

行测量,根据实测值选配最佳配合公差。 

(DLrF501 8-2004)的技术要求。 

119— 

库被下载,其信息就没有任何安全胜可言了。 

(三)源代码的安全隐患 

(四)用Session对象进行注册验证 

为防止未经注册的用户绕过注册界面直接进入应用系统, 

由于ASP程序采用的是非编译性语言,这大大降低了程序 

可以采用Session对象进行注册验证。Session对象最大的优点是 

源代码的安全性。任何人只要进入站点,就可以获得源代码, 

可以把某用户的信息保留下来,让后续的网页读取。例如,设 

从而造成ASP应用程序源代码的泄露,有些密码根本起不到任 计要求用户注册成功后系统启动hrmis.asp?page=l页面。如果不 

何的保护作用。 

(四)程序设计的安全隐患 

采用Session对象进行注册验证,则用户在浏览器中敲入 

“URIdh_nnis.asp?page=l”即可绕过注册界面,直接进入系统。 

ASP代码利用表单(form)实现与用户交互的功能,而相应 

利用Session对象可以有效阻止这一情况的发生。 

的内容会反映在浏览器的地址栏中,如果不采用适当的安全措 

相关的程序代码如下: 

施,只要记下这些内容,就可以绕过验证直接进入某一页面。 

<% 

例如在浏览器中敲人“……Page.asp?x=l”可不经过表单页面直 ‘读取用户输入的账号和密码 

erID=Request(“UsedD”) 

接进入满足‘‘x=l”条件的页面。因此,在设计验证或注册页面 

Us

时,必须采取特殊措施来避免此类问题的发生,提高数据库的 

安全性。 

二、ASP+Access数据库安全存在问题的对策 

有效防止Access数据库被盗用,就成为提高ASP+Access安 

全性的重中之重。在此针对安全存在的问题提出几点对策: 

(一)非常规命名法 

防止数据库被找到的简便方法是为Access数据库文件起一 

个复杂的非常规名字,并把它存放在多层目录下。例如,对于 

网上商店的数据库文件,不要简单地命名为“company.mdb”或 

store.mdb”,而是要起个非常规的名字,例如:faql9jhsvzba1. 

mdb再把它放在./abc/aaa41 1/company/company1之类深层目录下。 

这样,对于一些通过猜的方式想得到Access数据库文件名的非 

法访问方法能起到有效的阻止作用。重要文件(如数据库文件) 

可以放在服务器的WEB目录之外。一般地,服务器的WEB目录 

为“CAInetpub\WV(WROOT”,此目录下的文件大多可手工下载。 

为了保护某重要文件( ̄13file.mdb),可以将其置于某一目录下, 

例如目录“CADB”,就算源文件或文件名泄露,文件file.mdb也 

难以下载。 (用“URU--/..Mb/ifle.mdb”方法下载无效) 

(二)使用ODBC数据源 

在ASP程序设计中,应尽量使用ODBC数据源,不要把数据 

库名直接写在程序中。否则,数据库名将随ASP源代码的失密 

而一同失密。例如: 

DBPath=Server.MapPath(“./akkjj16t/kjhgb661/acd]ave— 

cx55/faqlgjhsvzba1.mdb”) 

conn.open“driver={Mierosoft Access Driver(*.mdb)】; 

dbq=”&DBPath 

可见,即使数据库名字起得再怪异,隐藏的目录再深, 

ASP源代码失密后,数据库也很容易被下载下来。如果使用 

ODBC数据源,就不会存在这样的问题了。 

(三)对ASP页面进行加密 

为有效地防止ASP源代码泄露,可以对ASP页面进行加密。 

般有两种方法对ASP页面进行加密保护。一种是采用“脚本 

最小化法则”。I ̄DASP文件中只编写尽可能少的源代码,需要高 

级保密或有商业用途的脚本部分被封装到一个COM/DCOM组件 

中,并在ASP脚本中创建该组件,进行调用相应的方法(method) 

即可。另一种方法是采用微软的Scirpt EncoderX;J'ASP页面进行加 

密。笔者认为,使用组件技术存在的主要问题是每段代码均需 

组件化,操作比较烦琐,工作量较大,技术要求比较高;而使 

用Script Encoder对ASP页面进行加密,操作简单,收效良好。 

12O一 

Password=Request(“Password”) 

‘检查UseHD及Password是否正确 

IfUserlD<”hrmis”or Password> 

passwodr”Then Response.Write“账号错误!” 

Response.end 

Endff 

‘将Session) ̄象没置为通过验证状态 

Session(“Passed”)=True 

%> 

进入应用程序后,首先进行验证: 

<% 

‘如果未通过验证,返 ̄]Login状态’ 

If Not Session(“Passde”1hTen Response.Redirect“Login.asp” 

End If 

并不是这样就安全了,客户端可以绕开验证,步骤如下: 

(1)自建一个WEBJ] ̄务端; 

(2)在此wEB服务端上建立文件6k.sap,内容如下: 

eSssion(“passed”1=True; 

(3)转到验证的URL。 

因为上述步骤(2)中已使Session(“passed”)=True, 

所以验证便会通过。 

因此必须将账号和密码的输入与验证在同一的文件中进行, 

以使客户端无法绕过验证。如果数据库设置密码的同时,对关 

键字段(如密码字段)用密文存放而不用明文存放,会使数据 

库更加安全。 

总之,我们在实践中应结合实际情况,建立加密机制才能 

保证数据库的安全性。 

参考文献 

[1】蔡翠平,尚俊杰.网络程序设计—Asp[M1.北京:清华 

大学出版社,2002. 

[2]汪晓平,吴永强.ASP络开发技术[M】.北京:人民邮 

电出版社,2000. 

[3】顾桂英.网络数据库设计与发布[M1.北京:清华大学出 

版社.2000. 

作者简介:杨书清(1979一),女,山东德州人,青岛飞洋 

职业技术学院教师,中国海洋大学信息工程学院在职研究生, 

研究方向:计算机科学技术。 


本文标签: 数据库 进行 定轮

版权声明:本文标题:ASP+Access数据库安全存在的问题及对策 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1715991041a690536.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。