篇首語：原來改mdb為asp就能防下載是鬼話。

　　引子：昨天和animator試驗了一下，把 data.mdb文件改名為data.asp文件后放在wwwroot目錄里。然后 在IE中輸入data.asp路徑后，發現IE顯示一片空白，右鍵- >察看源文件，跳出記事本，將內容另存為。mdb文件 ，用ACCESS打開，發現需要密碼，也就是說至少文件頭被破壞。

　　然后用 Flashget試驗下載data.asp文件，并另存為data.mdb文件，發現用ACCESS打開完好無損！！！看 來，好一些編程人員在開發的時候都認為，改了mdb后綴為asp就能防下載的概念，是錯的！后臺數據庫被下載對于一個asp a ccess的網站來說無疑是一場慘絕人寰的災難。今天找了各方的文章，歸納一下有以下9種辦法防止數據庫被下載（歡迎補充）：& nbsp；

　　1.發揮你的想象力 修改數據庫文件名不用說，這是最最偷懶的方法，但是若攻擊者通過第三方途徑獲得了數據庫的路徑），就玩完了。比如說攻擊者本來只能拿到list權 ，結果意外看到了數據庫路徑，就可以冠冕堂皇地把數據庫下載回去研究了。另外，數據文件通常大小都比較大，起再隱蔽的文件名都瞞 不了人。故保密性為最低。

　　2.數據庫名后綴改為ASA、ASP等

　　此法須配合一些要進行一些設置，否則就會出現本文開頭的那種情況

　　（1）二進制字段添加（此招我還沒有煉成-_- ）。

　　（2） 在這個文件中加入<%或%>，IIS就會按ASP語法來解析，然后就會報告500錯誤，自然不能下載了。可是 如果只是簡單的在數據庫的文本或者備注字段加入<%是沒用的，因為ACCESS會對其中的內容進行處理，在數據庫里他會以 < %的形式存在，無效！正確的方法是將 <%存入OLE對象字段里，這樣我們的目的就能達到了。&nbs p；作方法：首先，用notepad新建一個內容為 <% 的 文本文件，隨便起個名字存檔。

　　接著，用Access打開您的數據庫文件，新建一個表，隨便起個名字，在表中添加一個OLE對象的字段，然后添加一個記錄， 插入之前建立的文本文件，如果操作正確的話，應該可以看到一個新的名為"數據包＂的記錄。即可

　　3.數據庫名前加"#"只需要把數據庫文件前名加上#、然后修改數據庫連接文件（如conn.asp）中的數據庫地址。原理是下載的時候只能識別& nbsp；#號前名的部分，對于后面的自動去掉，比如你要下載：http://www.pcdigest.com/date/# 123.mdb（假設存在的話）。無論是 IE還是FLASHGET等下到的都是http://www.test.com/dat e/index.htm（index.asp、 default.jsp等你在IIS設置的首頁文檔）

　　另外在數據庫文件名中保留一些空格也起到類似作用，由于HTTP協議對地址解析的特殊性，空格會被編碼為"%"，如http ://www.test.com/date/123 ；456.mdb，下載的時http： //www. test.com/date/123 E6.mdb.而我們的目錄就根本沒有123E6.mdb這個文件，所 以下載也是無效的這樣的修改后，即使你暴露了數據庫地址，一般情況下別人也是無法下載！

　　4.加密數據庫首先在選取"工具-> 安全->加密/解密數據庫，選取數據庫（如：employer.mdb），然后接確定，接 著會出現"數據庫加密后另存為"的窗口，存為： employer1.mdb.接著employer.mdb就會被編碼，然后存為 employer1.mdb……要注意的是，以上的動作并不是對數據庫設置密碼，而只是對數據庫文件加以編碼，目的是為了防止他 人使用別的工具來查看數據庫文件的內容。

　　接下來我們為數據庫加密，首先以打開經過編碼了的 e mployer1.mdb，在打開時，選擇"獨占"方式。然后選取功能表的"工具->安全->設置數據庫密碼"，& nbsp；接著輸入密碼即可。這樣即使他人得到了employer1.mdb文件，沒有密碼他是無法看到 emplo yer1.mdb的。

　　加密后要修改數據庫連接頁， 如：conn.open "driver={microsoft access driver&nb sp；（*.mdb）}；uid=admin；pwd=數據庫密碼；dbq=數據庫路徑"這樣修改后，數據庫即使被人下載了，別人也無法打開（前提是你的數據庫連接頁中的密碼沒有被泄露）

　　但值得注意的是，由于Access數據庫的加密機制比較簡單，即使設置了密碼，解密也很容易。該數據庫系統通過將用戶輸入的 密碼與某一固定密鑰進行" 異或"來形成一個加密串，并將其存儲在*.mdb文件從地址"&H42"開始的區域內。所以一 個好的程序員可以輕松制作一個幾十行的小程序就可以輕松地獲得任何Access數據庫的密碼。因此，只要數據庫被下載，其信息安 全依然是個未知數。