問：在網(wǎng)絡(luò)數(shù)據(jù)庫站點(diǎn)檢索信息時(shí)往往需要驗(yàn)證用戶的合法性，請(qǐng)分析這樣的站點(diǎn)有哪幾種技術(shù)保護(hù)措施？

答: 身為一個(gè)網(wǎng)管，都知道數(shù)據(jù)庫就是網(wǎng)站的核心機(jī)密，黑客的目的往往也是數(shù)據(jù)庫，所以保護(hù)數(shù)據(jù)庫是刻不容緩的。

前人總結(jié)的方法如下：

1.發(fā)揮你的想象力 修改數(shù)據(jù)庫文件名

不用說，這是最最偷懶的方法，但是若攻擊者通過第三方途徑獲得了數(shù)據(jù)庫的路徑)，就玩完了。比如說攻擊者本來只能拿到list權(quán) ，結(jié)果意外看到了數(shù)據(jù)庫路徑，就可以冠冕堂皇地把數(shù)據(jù)庫下載回去研究了。另外，數(shù)據(jù)文件通常大小都比較大，起再隱蔽的文件名都瞞 不了人。故保密性為最低。

2.數(shù)據(jù)庫名后綴改為ASA、ASP等

此法須配合一些要進(jìn)行一些設(shè)置，否則就會(huì)出現(xiàn)本文開頭的那種情況

(1)二進(jìn)制字段添加(此招我還沒有煉成-_- )。

(2)在這個(gè)文件中加入，IIS就會(huì)按ASP語法來解析，然后就會(huì)報(bào)告500錯(cuò)誤，自然不能下載了。可是 如果只是簡單的在數(shù)據(jù)庫的文本或者備注字段加入<%是沒用的，因?yàn)锳CCESS會(huì)對(duì)其中的內(nèi)容進(jìn)行處理，在數(shù)據(jù)庫里他會(huì)以 < %的形式存在，無效！正確的方法是將<%存入OLE對(duì)象字段里，這樣我們的目的就能達(dá)到了。&nbs p;

作方法：

首先，用notepad新建一個(gè)內(nèi)容為 <% 的 文本文件，隨便起個(gè)名字存檔。

接著，用Access打開您的數(shù)據(jù)庫文件，新建一個(gè)表，隨便起個(gè)名字，在表中添加一個(gè)OLE對(duì)象的字段，然后添加一個(gè)記錄， 插入之前建立的文本文件，如果操作正確的話，應(yīng)該可以看到一個(gè)新的名為"數(shù)據(jù)包"的記錄。即可

3.數(shù)據(jù)庫名前加"#"

只需要把數(shù)據(jù)庫文件前名加上#、然后修改數(shù)據(jù)庫連接文件（如conn.asp）中的數(shù)據(jù)庫地址。原理是下載的時(shí)候只能識(shí)別& nbsp;#號(hào)前名的部分，對(duì)于后面的自動(dòng)去掉，比如你要下載：http://www. mb5u.com/date/# 123.mdb(假設(shè)存在的話）。無論是IE還是FLASHGET等下到的都是http://www.test.com/dat e/index.htm(index.asp、default.jsp等你在IIS設(shè)置的首頁文檔)

另外在數(shù)據(jù)庫文件名中保留一些空格也起到類似作用，由于HTTP協(xié)議對(duì)地址解析的特殊性，空格會(huì)被編碼為"%",如http ://www.test.com/date/123 ;456.mdb，下載的時(shí)http://www. test.com/date/123 E6.mdb。而我們的目錄就根本沒有123E6.mdb這個(gè)文件，所 以下載也是無效的這樣的修改后，即使你暴露了數(shù)據(jù)庫地址，一般情況下別人也是無法下載！