2024年6月20日发(作者：)

科技信息○IT技术论坛○SCIENCE&TECHNOLOGYINFORMATION

2008

年第

27

期

ASP+ACCESS

网站安全问题浅谈

廖建锋

(

河南经贸职业学院河南郑州

450053

)

【摘要】ASP作为一种交互式的动态网页开发技术,具有开发周期短、存取数据库方便、执行效率高等特点,在网站开发中ASP技术得到

广泛应用

。ACCESS

数据库是

ASP

网站最常用的数据库

,

本文从

ACCESS

数据库方面阐述了

ASP

构建网站存在的主要安全问题

,

并给出了相应

的一些解决方案

。

【关键词】

ASP

;安全;数据库

一、引言

ASP

全名为

MicrosoftActiveServerPages,

是一套微软开发的服务

器端脚本环境,通过ASP我们可以结合HTML网页、ASP指令和

ActiveX元件建立动态、交互且高效的WEB服务器应用程序。ACCESS

数据库是

ASP

网站最常用的数据库

,

人们在广泛应用

ASP+ACCESS

技术建立网站的同时,往往忽视

ACCESS

数据库的安全问题。

二、ACCESS数据库的安全问题

ACCESS数据库最大的安全隐患在于可以被别人下载,而现在提

供的很多

ASP

空间都是只支持

ACCESS

数据库

,

这样一来

,ASP+

ACCESS

网站的安全问题就显得更为突出

,ACCESS

数据库安全问题

主要表现在一下几个方面。

数据库的存储隐患

在ASP+ACCESS网站中,如果获得或者猜到ACCESS数据库的

存储路径和数据库名,则该数据库就可以被下载到本地。

数据库的解密隐患

由于

Access

数据库的加密机制非常简单

,

所以即使数据库设置

了密码,解密也很容易。该数据库系统通过将用户输入的密码与某一

固定密钥进行异或来形成一个加密串,并将其存储在*.mdb文件中

从地址“&H42”开始的区域内。由于异或操作的特点是“经过两次异或

就恢复原值

”,

因此

,

用这一密钥与

*.mdb

文件中的加密串进行第二

次异或操作

,

就可以轻松地得到

ACCESS

数据库的密码

。

基于这种原

理,可以很容易地编制出解密程序。由此可见,无论是否设置了数据库

密码,只要数据库被下载,其信息就没有任何安全性可言了。

3.程序设计中的安全隐患

ASP

代码利用表单

(form)

实现与用户交互的功能

,

而相应的内容

会反映在浏览器的地址栏中

,

如果不采用适当的安全措施

,

只要记下

这些内容,就可以绕过验证直接进入某一页面。例如在浏览器中敲入

“……?x=1”,即可不经过表单页面直接进入满足“x=1”条件

的页面。因此,在设计验证或注册页面时,必须采取特殊措施来避免此

类问题的发生

。

三、

Access

数据库的安全问题解决方案

由于

Access

数据库加密机制过于简单,因此,如何有效地防止

Access数据库被下载,就成了提高ASP+Access解决方案安全性的重

中之重。针对常见的数据库安全问题,本文提出以下几种解决方案。

1.非常规命名法

防止数据库被找到的简便方法是为

Access

数据库文件起一个复

杂的非常规名字,并把它存放在多层目录下。例如,对于学生信息管理

系统的数据库文件,不要简单地命名为“”或“Xuesheng.

mdb”,而是要起个非常规的名字,例如:,再把它放在

如

./dfdfe/wewewe/2323/23swe

之类的深层目录下

。

这样

,

对于一些通过

猜的方式得到

Access

数据库文件名的非法访问方法起到了有效的阻

止作用

。

2.

使用

ODBC

数据源

在ASP程序设计中,应尽量使用ODBC数据源,不要把数据库名

直接写在程序中,否则,数据库名将随ASP源代码的失密而一同失

密

。

即使数据库名字起得再怪异

,

隐藏的目录再深

,ASP

源代码失密

后,数据库也很容易被下载下来。如果使用

ODBC

数据源,就不会存在

这样的问题。

3.利用Session对象进行注册验证

为防止未经注册的用户绕过注册界面直接进入应用系统,可以采

用

Session

对象进行注册验证

。Session

对象最大的优点是可以把某用

62

户的信息保留下来

,

让后续的网页读取

。

4.

修改数据库扩展名

也可以将数据库的扩展名改为.asp,当然在定位数据库的时候也

要用类似的文件名,这样数据库不会被轻易的下载,而数

据还可以正常的读出写入

。

5.

注意

ASP

程序设计中的安全问题

对于大多数人来讲,认为网站只要加了登录密码就无法正常进入

了。而请您看下面的验证语句:

sql="selectuname,pwdfromuinfowhere"

sql=sql&"uname='"&("uname")&"'"

sql=sql&"andpwd='"&("pwd")&"'"

l,conn,1,1

n

"

对不起

,

错误的用户名

/

密码

!"

else

"登录成功!"

endif

这段代码是十分危险的,只要对方知道用户名就可以登录,你可

以在密码框里输入

“'or'1'='1”

就可以了

,

其原理很简单

,

就是利用了

sql

查询语句,大家注意,用此方法提交以后的

sql

语句变成了:

(

如果

用户名为administrator)selectuname,pwdfromuinfowhereuname=

'administrator'andpwd=''or'1'='1',如果用户名administrator存在的

话那么这个记录是可以被选出来的,之后当然就是可以正常登录了。

解决方案

:

sql="selectuname,pwdfromuinfowhere"

sql=sql&"uname='"&("uname")&"'"

l,conn,1,1

n

"对不起,本站没有此用户!"

else

("pwd")=trim(("pwd"))then

"

登录成功

!"

else

"

错误的用户名

/

密码!

"

endif

endif

6.对ASP页面进行加密

为有效地防止

ASP

源代码泄露

,

可以对

ASP

页面进行加密

。

一般

有两种方法对

ASP

页面进行加密

。

一种是使用组件技术将编程逻辑

封装入

DLL

之中;另一种是使用微软的

ScriptEncoder

对

ASP

页面进

行加密。但是,使用组件技术存在的主要问题是每段代码均需组件化,

操作比较烦琐,工作量较大;而使用ScriptEncoder对ASP页面进行加

密

,

操作简单

、

收效良好

。ScriptEncoder

方法具有许多优点

:

(1)HTML

仍具有很好的可编辑性

ScriptEncoder

只加密在

HTML

页面中嵌入的

ASP

代码,其他部

分仍保持不变,这就使得我们仍然可以使用FrontPage或Dreamweaver

等常用网页编辑工具对HTML部分进行修改、完善,只是不能对ASP

加密部分进行修改

,

否则将导致文件失效

。

(2)

操作简单

只要掌握几个命令行参数即可

。ScriptEncoder

的运行程序是

,其使用方法如下:

screnc[/s][/f][/xl][/l

(下转第

43

页)

科技信息○科教前沿○SCIENCE&TECHNOLOGYINFORMATION2008年第27期

显微方法

,

具有高至原子

、

分子的分辨能力

。

其工作原理是利用尖锐针

尖与表面原子分子的相互作用

,

即当针尖与试样表面接近至纳米尺度

时形成各种相互作用物理局域场,通过检测该场物理量而获得样品表

面形貌。SPM已成为表面微观结构、性能、状态的观察和分析以及相应

操控的重要手段,是纳米科技的重要组成部分。如果将以扫描隧道显

微镜和原子力显微镜为代表的扫描探针显微术应用到储层岩石微观

孔隙结构的表征上

,

凭借其超高分辨能力

、

无损

、

直接的观测的特点

,

对于建立新的储层岩石孔隙结构评价体系,客观评价储层的非均质性

特征及其含油气性,指导下一步油气勘探与开发,应具有现实的指导

意义

。

科

●

参考文献

】【

[

1

]马明福

,

方世虎

,

张煜

,

等

.

东营凹陷广利油田纯化镇组低渗透储层微观孔隙结

构特征[J].石油大学学报(自然科学版),2001,25(4):10-12.

[2]onshipofporosityandpermeabilitytovariousparameters

derivedfrommercuryinjection-capillarypressurecurvesforsandstone[J].AAPG

Bulletin,1992,76(2):191-198.

[3]

王为民

,

郭和坤

,

叶朝辉

.

利用核磁共振可动流体评价低渗透油田开发潜力

[J].

石油学报

,2001,22(6):40-44.

[4]陈孟晋,刘锐娥,孙粉锦,等.鄂尔多斯盆地西北部上古生界碎屑岩储层的孔隙

结构特征初探[J].沉积学报,2002,20(4):639-643.

[5]BARAKA-LOKMANES,TEUTSCHG,nceofopenandsealed

fracturesonfluidflowandwatersaturationinsandstonecoresusingMagnetic

ResonanceImaging[J].GeophysicalJournalInternational,2001,147(2):263-271.

[6]JOHANSENTA,DROTTNINGA,LECOMTEI,oachto

combinedrockphysicsandseismicmodelingoffluidsubstitutioneffects[J].

GeophysicalProspecting,2002,50(2):119-137.

[7]

李存贵

,

徐守余

.

长期注水开发油藏的孔隙结构变化规律

[J].

石油勘探与开发

,

2003,30(2):94-96.

[

8

]吴文祥

,

刘洋

.

聚合物驱后岩心孔隙结构变化特性研究

[J].

油田化学

,2002,19

(3):253-256.

[9]王夕宾,刘玉忠,钟建华,等.乐安油田草13断块沙四段储集层微观特征及其

与驱油效率的关系

[J].

石油大学学报

(

自然科学版

),2005,29(3)6-10.

[

10

]张绍东

,

王绍兰

,

李琴

,

等

.

孤岛油田储层微观结构特征及其对驱油效率的影

响.石油大学学报(自然科学版),2002,26(3):47-53.

[11]沈光政,王成,王殿滨,等.砂岩铸体酸溶样品扫描电镜研究及地质应用[J].大

庆石油地质与开发,2005,24(3):35-37.

[12]

孙卫

,

史成恩

,

赵惊蛰

,

等

.X-CT

扫描成像技术在特低渗透储层微观孔隙结构

及渗流机理研究中的应用

[J].

地质学报

,2006,80(5):775-779.

[

13

]马新仿

,

张士诚

,

郎兆新

,

储层岩石孔隙结构的分形研究

[J].

中国矿业

,2003,12

(9):46-48.

[14]LiK,lcharacterizationofthegeysersrock[A].Proceedingsof

theGRC2003annualmeeting[C],October12-15,2003,Morelia,Mexico;

GeothermalResourcesCouncilTransactions,2003,27.

[

15

]李留仁

,

赵艳艳

,

李忠兴

,

等

.

多孔介质微观孔隙结构分形特征及分形系数的

意义

[J].

石油大学学报

(

自然科学版

),2004,28(3):105-107.

[16]onefractalandEuclideanporevolumedistributions[J].

JournalofGeophysicalResearch,1988,93(B4):3297-3305.

[17]RadlinskiAP,IoannidisMA,HindeL,om-to-millimeter

characterizationofsedimentaryrockmicrostructure[J].JournalofColloidand

InterfaceScience,2004,274(2):607-612.

[18]SenD,MazumderS,vestigationonporesurface

rougheninginrocks[J].AppliedPhysicsA,2002,74(Suppl.):s1049-s1051.

[19]陈程,孙义梅.砂岩孔隙结构分维及其应用[J].沉积学报,1996,14(4):108-113.

[20]

应凤祥

,

杨式升

,

张敏

,

等

.

激光扫描共聚焦显微镜研究储层孔隙结构

[J].

沉积

学报

,2002,20(1):75-77.

[

21

]

HironoT,LinW,NakashimaS,Porespacevisualizationofrocksusingan

atomicforcemicroscope[J].InternationalJournalofRockMechanicsandMining

Sciences,2006,43(2):317-320.

[责任编辑:翟成梁]

●

(

上接第

52

页

)

()Conversation:......

Sg>(Sn=Sg)

Agent的逻辑流程如下:

{

Initialize();//

初始化环境建立通信消息路由等对象

SetAttributes();//

设置

Agent

的有关属性描述

Agent

的资源能力

任务

SetSubscribe();//设置Agent的有关订购

while(run_condition)//Agent处在运行状态

{

while(!finalStateReached)//Agent

没有到达目标状态

{

StartConversation();//启动Agent会话线程

}

......//

其它处理

}

}

3.结束语

Agent研究方兴未艾,多智能体应用系统开发的关键是面向智能

体的程序设计方法。基于Java的多Agent系统不仅保证了Agent对象

间的通信与社会行为协调机制

,

使开发者集中力量于领域内

Agent

对

象的细节描述与功能定义

,

而且使所开发的多

Agent

系统具有良好的

扩充性和容错性。

科

●

【参考文献】

[1]张维明,《智能协作信息技术》,北京,电子工业出版社,2002.

[2]Holland,tioninNaturalandArtificialSystems[M].AnnArbor:The

UniversityofMichiganpress,1975.

[

3

]

WooldridgeMJ,igentagent

KnowledgeEnigeeringReview,1995;10(2):115-152.

theoryandpractice

[

J

]

.

[

责任编辑

:

韩铭

]

●

(上接第62页)defLanguage][/edefExtension]inputfileoutputfile其中

的参数含义如下

:

s:

屏蔽屏幕输出

;

f

:指定输出文件是否覆盖同名输入文件;

xl:是否在.asp文件的顶部添加@Language指令;

l:defLanguag指定缺省的脚本语言;

e:defExtension

指定待加密文件的扩展名

。

(3)

可以批量加密文件

使用

ScriptEncoder

可以对当前目录中的所有的

ASP

文件进行

加密,并把加密后的文件统一输出到相应的目录中。例如:screnc*.

aspd:WEBSITE

(4)ScriptEncoder

是免费软件

该加密软件可以从微软网站下载。下载后,运行安装即可。

四

、

总结

本文列举了

ASP+ACCESS

网站安全方面常见的漏洞和相应的保

护措施。

ASP

虽然得到了广泛应用,但是安全问题并没有得到足够的

重视,所以在以后网站的制作过程中,要对ASP的这些安全问题有足

够的重视,这样才能提高网站的安全性。

科

●

参考文献

】【

[

1

]

HTML

参考大全,清华大学出版社

.

杨正华译

.

[

2

]

ActiveServerPages

彻底研究

.

中国铁道出版社

.

廖信彦编著

.

[

责任编辑

:

韩铭

]

43