和黑客的ASP漏洞入侵说byebye(2)

　　防范技巧：

　　(1)为你的数据库文件名称起个复杂的非常规的名字，并把它放在几层目录下。所谓 “非常规”， 打个比方说，比如有个数据库要保存的是有关书籍的信息， 可不要给它起个“book.mdb”的名字，而要起个怪怪的名称，比如d34ksfslf.mdb， 并把它放在如./kdslf/i44/studi/的几层目录下，这样黑客要想通过猜的方式得到你的Access数据库文件就难上加难了。

　　(2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中，比如：

　　DBPath = Server.MapPath(“cmddb.mdb”)>　　conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath

　　假如万一给人拿到了源程序，你的Access数据库的名字就一览无余了。因此建议你在ODBC里设置数据源，再在程序中这样写：

　　conn.open“shujiyuan”

　　(3)使用Access来为数据库文件编码及加密。首先在“工具→安全→加密/解密数据库”中选取数据库(如：employer.mdb)，然后按确定，接着会出现“数据库加密后另存为”的窗口，可存为：

　　“employer1.mdb”

　　要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。接下来我们为数据库加密，首先打开经过编码了的 employer1.mdb，在打开时，选择“独占”方式。然后选取功能表的“工具→安全→设置数据库密码”，接着输入密码即可。这样即使他人得到了employer1.mdb文件，没有密码他也是无法看到 employer1.mdb中的内容。

　　7、防范远程注入攻击

　　这类攻击在以前应该是比较常见的攻击方式，比如POST攻击，攻击者可以随便的改变要提交的数据值已达到攻击目的。又如：COOKIES 的伪造，这一点更值得引起程序编写者或站长的注意，不要使用COOKIES来做为用户验证的方式，否则你和把钥匙留给贼是同一个道理。

　　比如:

　　If trim(Request. cookies ("uname"))="fqy" and Request.cookies("upwd")

　　=”fqy#e3i5.com” then

　　……..more………

　　End if

　　我想各位站长或者是喜好写程序的朋友千万别出这类错误，真的是不可饶恕。伪造COOKIES 都多少年了，你还用这样的就不能怪别人跑你的密码。涉及到用户密码或者是用户登陆时，你最好使用session 它才是最安全的。如果要使用COOKIES就在你的COOKIES上多加一个信息，SessionID，它的随机值是64位的，要猜解它，不可能。例：

　　if not (rs.BOF or rs.eof) then

　　login="true"

　　Session("username"&sessionID) = Username

　　Session("password"& sessionID) = Password

　　'Response.cookies(“username”)= Username

　　'Response.cookies(“Password”)= Password