2024年6月21日发(作者：)

第１２卷第２期　

２０１３年４月　

常州信息职业技术学院学报　

Ｖｏｋ１２　Ｎ０．２　

Ａｐｔ．２０１３　

ＪｏｕｒｎａｌｏｆＣｈａｎｓｚｈｏｕＶｏｃａｔｉｏｎａｌＣｏｌｌｅｇｅ　ｏｆＩｎｆｏｒｍａｔｂｎＴｅｃｈｎｏｌｏｇｙ　

ＡＳＰ．ＮＥＴ＋Ａｃｃｅｓｓ技术建站安全性初探　

马晓荣　孙悦　肖宁　

７１０１００；　（１．陕西职业技术学院计算机科学系

２．陕西交通职业技术学院信息工程系

陕西西安

陕西西安７１ｏｏ１８）　

摘要：针对Ａｃｃｅｓｓ数据库本身的安全性及ＡＳＰ．ＮＥＴ网站设计过程中存在的常见安全问题，提出了增强ＡＳＰ．ＮＥＴ＋Ａｃｃｅｓｓ　

网站安全性的具体对策，在实际开发网站的过程中具有较强的指导作用，同时对于加强网络的安全性也具有重要的　

意义。　

关键词：ＡｓＰ．ＮＥＴ；网站设计；安全性　

中图分类号：ＴＰ　３９３．０８　文献标志码：Ａ　文章编号：１６７２－２４３４（２Ｏｌ３）０２删ｌ２６　Ｄ３　

Ｅｘｐｌｏｒａｌｉｏｎ　ｏｆ　Ｗｅｂ　Ｄｅｓｉｇｎｉｎｇ　Ｓｅｃｕｒｉｔｙ　

Ｂａｓｅｄ　ｏｎ　ＡＳＰ．ＮＥｒＩ１＋Ａｃｃｅｓｓ　

ＭＡ　Ｘｉａｏ－ｒｏｎｇ　ＳＵＮ　Ｙｕｅ　ＸＩＡＯ　Ｎｉｎｇ　

（１．Ｄｅｐａｒｔｍｅｎｔ　ｏｆ　Ｃｏｍｐｕｔｅｒ　Ｓｃｏｎｃｅ，Ｓｈａａｎｘｉ　Ｖｏｃａｔｉｏｎａｌ＆Ｔｅｃｈｎｉｃａｌ　Ｃｏｌｌｅｇｅ，Ｘｉ’ａｎ　７１０１００，Ｃｈｉｎ；　

２．Ｄｅｐａｒｔｍｅｎｔ　ｏｆ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｅｎｇｉｎｅｅｒｉｎｇ，Ｓｈａａｎｘｉ　Ｃｏｌｌｅｇｅ　ｏｆ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｔｅｃｈｎｏｌｏｇｙ，Ｘｉ’ａｎ　７１００１８，Ｃｈｉｎａ）　

Ａｌ￣ａｔｅｔ：Ａｃｃｏｒｄｉｎｇ　ｃ０ｔｈｅ　ｓｅｃｕｒｉｔｙ　ｏｆＡｃｃｅｓｓ　ｄａｔａｂａｓｅ　ａｎｄｔｈｅ　ｐｒｏｂｌｅｍｓ　ｉｎｔｈｅ　ｗｅｂｓＲｅ　ｄｅｓｉｇｎ　ｐｒｏｃｅｓｓ　ｏｆＡＳＰ．ＮＥＴ．ｔｈｉｓ　ｐａｐｅｒ　ｉｎｔｒｏ－　

ｄａｃｅｓ　ｔｈｅ　ｄｅｔａｉｌｅｄ　ｃｏｕｎｔｅｒｍｅａｓｕｒｅｓ　ｏｆ　ｓ仃ｅｎ星　ｅ她

ｙ神：ＡＳＰ．ＮＥＴ；ｗｅｂｓｉｔｅ　ｄｅｓｉｇｎ；ｓｅｃｕｒｈ＇ｙ　

ｈｔｅ　ｓｅｃｕｒｉｔｙ　ｏｆ　ＡＳＰ．ＮＥＴ十Ａｃｃｅｓｓ　ｗｅｂｓ￣ｅ．Ｉｔ　ｒｏｐｖｉｄｅｓ　ａ　ｓｔｒｏｎｇ　ｇｕｉｄｅ　ｆｏｒ　

ｄｅｖｅｌｏｐｉｎｇ　ｗｅｂｓｉｔｅｓ　ａｎｄ　ｈａｓ￣ｏｒｔａｎｔ　ｓｉｇｎｉｆ￣ａｎｃｅ　ｆｏｒ　ｓｔｒｅｎｇｔｈｅｎｉｎｇ　ｗｅｂｓＲｅ　ｓｅｃｕｒｉｔｙ．　

在Ｂ／Ｓ模式下使用ＡＳＰ．ＮＥＴ＋Ａｃｃｅｓｓ的模式　

来开发Ｉｎｔｅｒａｃｔ网站的思路已备受广大程序员的欢　

迎。ＡＳＰ．ＮＥＴ作为一种典型的创建动态ｗｅｂ内容　

的强大的服务器端技术，被广泛应用在网站建设中。　

Ａｃｃｅｓｓ数据库作为Ｍｉｃｒｏｓｏｆｔ公司推出的以标准　

安全漏洞和Ａｃｃｅｓｓ数据库本身存在的安全性问题。　

本文在对网站常见安全问题进行分析的基础上给出　

了相应的解决方案。　

１关键技术分析　

ＡＳＰ．ＮＥＴ是一种全新的创建动态网页的技术，　

它是建立在微软新一代．ＮＥＴ平台架构上，在服务器　

端为用户提供建立强大企业级ｗｅｂ应用服务的编　

译型编程框架，可用任何与．ｎｅｔ兼容的语言开发应　

用程序，支持组件化、代码复用和快速开发等技术。　

Ａｃｃｅｓｓｓ数据库管理系统是Ｗｈ３ｄｏｗｓ平台上最　

ＪＥＴ为引擎的桌面型数据库系统，因其界面友好、操　

作简单而赢得广大用户的青睐。因此，将ＡＳＰ．ＮＥＴ　

与Ａｃｃｅｓｓ结合使用已成为目前建设中小型网站的　

首选方案。但该方案在建设网站提供方便快捷的同　

时，日益突出的安全问题如数据库信息泄露、非法登　

陆等越来越受到用户的关注。该方案存在的安全隐　

患主要有两种，分别是使用ＡＳＰ．ＮＥＴ设计网页时的　

收稿日期：２０１３－０３－０５　

适用、最受欢迎的数据库管理系统之一。它拥有大　

作者简介：马晓荣（１９７７一），女，讲师，硕士，主要研究方向：计算机软件、数据库系统　

第１２卷第２期　马晓荣等：ＡＳＰ．ＮＥＴ＋Ａｃｃｅｓｓ技术建站安全性初探　２７　

量工具和特性，界面简单友好，开发、操作容易；拥有　

在一个工作组级别的网络环境中，开发多用户数据　

库管理系统，能够实现Ｃ／Ｓ结构和相应的数据库安　

全机制，具备了许多先进的大型数据库管理系统所　

具备的特征。　

２网站安全分析　

２．１　Ａｃｃｅｓｓ数据库安全分析　

２．１．１　Ａｃｃｅｓｓ数据库存储隐患　

网站的重要信息都需要存储在数据库中，所以　

数据库是网站运营的基础，如果数据库（　．ｍ曲）的　

存储路径和文件名被非法用户通过各种方法猜到或　

者得到，那么这个数据库很有可能通过“ＵＲＬ／数据　

库所在路径名／数据库名．ｍｄｂ”地址被非法用户下载　

到需要的位置。这样，安全性比较差，网站中的重要　

信息会被非法用户完全了解。　

解决上述问题常用的方法是将Ａｃｃｅｓｓ数据库　

文件的扩展名由“．ｍｄｂ”改成“．ａｓｐｘ”，然后再修改数　

据库连接文件（如ｃｏｒｍ．ａｓｐｘ）中的数据库地址的内　

容，这样即使数据库文件的文件名和存储位置被得　

知，也会错误地认为无法进行下载。原因是ＩＩＳ服　

务器不去处理“．ｍｄｂ”文件，而是直接将内容输出到　

Ｗｅｂ浏览器，而“．ａｓｐｘ”文件则要经过ＩＩＳ服务器处　

理，Ｗｅｂ浏览器显示的是处理结果，并不是ＡＳＰＸ　

文件的内容。　

这种解决方法却可通过ＦｌａｓｈＧｅｔ被完整下载，　

具体的方法是在其存储路径的“重命名”框中输入　

扩展名为．ｍｄｂ名称，即可顺利将数据库下载下来。　

这表明仅仅依靠将数据库的扩展名由“．ｍｄｂ”改成“．　

ａｓｐｘ”，还是存在一定的安全隐患。　

２・１．２　Ａｃｃｅｓｓ数据库解密隐患　

因为Ａｃｃｅｓｓ数据库的加密机制比较简单。所　

以即使为数据库设置了密码，破解密码也很容易。　

该数据库系统通过将用户输入的密码与某一固定密　

钥进行异或来形成一个加密串，并将其存储在　．　

ｍｄｂ文件中从地址“＆Ｈ４２”开始的区域内。因为异　

或操作有着“经过两次异或就恢复原值”的特点，故　

可用这一密钥与　．ｍｄｂ文件中的加密串进行第二　

次异或操作，Ａｃｃｅｓｓ数据库的密码便可轻松得出。　

基于此，解密程序便可容易地设计出。由此可知，只　

要数据库被下载了，无论数据库是否设置了密码，数　

据库中信息的安全性将没有任何保障。　

２．２　ＡＳＰ．ＮＥＴ技术安全分析　

２．２．１　ＡＳＰ．ＮＥＴ程序设计中的安全隐患　

ＡＳＰ．ＮＥＴ代码使用表单实现交互，相应的内容　

将体现在浏览器的地址栏中，若没有适当的安全措　

施，只要非法用户记下地址栏中的内容，便可绕过验　

证直接进入核心页面。如在浏览器地址栏中输人　

“

…

ｂｏｏｋｖｉｅｗ．ａｓｐｘ？Ｘ＝ａａａ”，便可不经过表单页面而　

直接进入满足“Ｘ＝ａａａ”条件的页面。　

２．２．２　ＳＱＬ注入漏洞　

ＳＱＬ注入就是攻击者通过ｗｅｂ应用程序利用　

ＳＱＬ语句或字符串将非法的数据插入到服务器端　

实际的数据库中，从而获得未经授权的访问和直接　

检索，最终控制网站获取重要的信息或破坏等。以　

网站登录页面中用户名和密码的验证为例，通常采　

用如下的代码：ＯｌｅＤｂＣｏｎｎｅｃｔｉｏｎ　ＭｙＣｏｎｎｅｃｔｉｏｎ＝ｎｅｗ　

ＯｌｅＤｂＣｏｎｎｅｃｔｉｏｎ（ＣｃｎｎｅｃｔｉｏｎＳｔｒｍｇ）；　

Ｓｔｒｓｑｌ＝”Ｓｅｌｅｃｔ　ｆｒｏｍ　ｕｓｅｒ　ｗｈｅｒｅ　ｎａｍｅ＝”’　

ＵｓｅｒＮａｍｅ＋”’ａｎｄ　ｐａｓｓｗｏｒｄ＝’”＋ｐａｓｓｗｏｒｄ＋”…：　

ＯｌｅＤｂＣｏｍｍａｎｄ　ＭｙＣｏｍｍａｎｄ＝ｎｅｗ　ＯｌｅＤｂＣｏｍ－　

ｍａｎｄ（ｓｔｒｓｑｌ，Ｍｙｃｏｎｎｅｃｔｉｏｎ）；　

ＭｙＣｏｎｎｅｃｔｉｏｎ．Ｏｐｅｎ（）；　

ＯｌｅＤｂＤａｔａＲｅａｄｅｒ　ＭｙＲｅａｄｅｒ＝ＭｙＣｏｍｍａｎｄ．Ｅｘ－　

ｅｃｕｔｅＲｅａｄｅｒ０；　

Ｉｆ（ＭｙＲｅａｄｅｒ．Ｒｅａｄ（））　

｛　

∥登录成功时要执行的代码　

｝　

正常输人不会产生问题，但假如用户在用户名　

和文本框中输入：“ａ’ｏｒ’ａ’＝’ａ”也可以通过验证。　

２．２

．

３输入框中输入恶意脚本　

恶意脚本指用户将恶意的脚本代码输人网页文　

本框控件中，如“＜ｓｃｒ￣ｔ＞ｗｈｉｌｅ（１）ｏｗｎ（’ｈｔｔｐ＇ｇ／ｗｗｗ．　

ｂａｉｄｕ．ｃｏｒｎ／’）＜／ｓｃｒｉｐｔ＞”。单击网页的提交按钮，则　

会弹出无数个百度新窗口，直至ＣＰＵ超负荷，系统　

资源消耗至死机为止。即攻击者可通过向输入框输　

入ｓｃｒｉｐｔ代码达到攻击目的。　

３　ＡＳＰ．ＮＥＴ＋Ａｃｃｅｓｓ安全问题解决　

方案　

３．１　Ａｃｃｅｓｓ数据库存储安全对策　

常州信息职业技术学院学报　２０１３年４月　

因为Ａｃｃｅｓｓ数据库的加密机制比较简单，所以　

如何有效地防止Ａｃｃｅｓｓ数据库被非法用户下载，就　

成为提高ＡＳＰ．ＮＥＴ＋Ａｃｃｅｓｓ解决方案安全性中一　

个亟待解决的问题。　

１）修改数据库的名称。为Ａｃｃｅｓｓ数据库文件　

取一个复杂的非见名知意的名字，并将其存放在多　

层目录下是防止数据库被找到的简便方法。比如网　

上书店的数据库，不能简单地给其取名为“ｂｏｏｋ．　

ｍｄｂ”或者“ｂｏｏｋｓｔｏｒｅ．ｍｄｂ”，而是取一个复杂的非见　

名知意的名字，如ｗｄａｓｄｆｓｄ．ｍｄｂ，再将其放在如　

ｙｙｋｋｄｄｅｅ／ｇｈｊｋｌｕｏｉｐ／ｇｈｔｑｗｅｒ／之类的深层目录下。这样　

可以有效阻止那些通过猜测的方式得到Ａｃｃｅｓｓ数　

据库文件名的非法访问。　

２）数据库放在ＷＥＢ根目录外或将数据库连接　

文件放到其它虚拟目录下，如ＷＥＢ目录是ｅ：＼　

ｗｅｂｒｏｏｔ，可把数据库放到ｅ：＼ｄａｔａ这个文件夹里，在　

ｅ：＼ｗｅｂｒｏｏｔ里的数据库连接页中修改数据库连接地　

址为：”．．／ｄａｔａ傲据库名”的形式，这样数据库可正常　

调用，但是无法下载，因为它不在ＷＥＢ目录里。　

３）防止暴露数据库。为防止数据库被下载，还　

可在数据库内新建一个表，表内输入一个文本内容　

为＜％ａｂｅｄｅｆｇａｓｄＰＡ＞，可以任意输入内容，只要不　

能被执行即可。再将数据库扩展名改为．ａｓｐｘ，这样　

非法用户试图下载数据库时便会提示“ａｓｐｘ解析出　

错，第ＡＡＡ行”。通过这样的操作，数据库将不会　

被暴露。此外配置．ｍｄｂ文件解析对应，配置数据池　

等方法也可比较有效地防止数据库被暴露。　

３．２　ＡＳＰ．ＮＥＴ程序设计中安全对策　

为防止未注册的用户绕过注册界面直接进入应　

用系统，可用Ｓｅｓｓｉｏｎ对象进行注册验证。Ｓｅｓｓｉｏｎ对　

象最大的优点是可以把某用户的信息保留下来，让　

后续的网页读取。如：设计要求用户注册成功后系　

统启动“ｂｏｏｋｖｉｅｗ．ａｓｐｘ？ｐａｇｅ＝ａａａ”页面。如果未　

使用Ｓｅｓｓｉｏｎ对象进行注册验证，那么用户在浏览器　

中输入“ＵＲＬ／ｂｏｏｋｖｉｅｗ．ａｓｐｘ？ｐａｇｅ＝ａａａ”，就可以　

绕过注册界面，直接进入应用系统。可在用户登录　

时提交一个Ｓｅｓｓｉｏｎ对象，如ｓｅｓｓｉｏｎ［‘‘ｕｓｅｒｎａｍｅ”］将　

登录用户的ｎａｍｅ进行提交，在进入其它页面时先　

验证ｓｅｓｓｉｏｎ［‘‘ｌｌｓｅｒｉｌａｍｅ”］是否为空值，是否存在于　

数据库中以此来判断用户是否登录。可以有效阻止　

这一情况的发生。相关的程序代码如下：ｐｒｏｔｅｃｔｅｄ　

ｖｏｉｄ　Ｐａｇｅ　Ｌｏａｄ（ｏｂｊｅｃｔ　ｓｅｎｄｅｒ，ＥｖｅｎｔＡｒｇｓ　ｅ）　

｛ｉｆ（ｓｅｓｓｉｏｎ［‘‘ｕｓｅｒｎａｍｅ”］＝＝ｎｕｌ１）Ｒｅｓｐｏｎｓｅ．Ｒｅ．　

ｄｉｒｅｃｔ（“１ｏｇ．ｍ．ａｓｐｘ”）；｝　

这样用户必须输入正确的用户名及密码，否则　

即使输人“ＵＲＬ／ｖｉｅｗｉｆｏ．ａｓｐ？ｐａｇｅ＝１”也会自动跳　

转到Ｌｏｇｉｎ．ａｓｐｘ页面，要求用户输入用户名和密码。　

３．３防止ＳＱＬ注入漏洞安全对策　

对于ＳＱＬ注入漏洞，可通过以下方法加以预　

防：①在生成ＳＱＬ查询前通过验证控件对用户的输　

入进行验证，过滤掉单引号等的危险字符的输入，确　

保输入的内容只包含合法的数据；②在ＳＱＬ语句中　

使用参数，由于ＯｌｅＤｂＣｏｍｍａｎｄ对象的ｐａｒａｍｅｔｅｒｓ　

集合提供了类型检查和长度验证，使用它，则输入将　

被视为文本值而不是可执行代码，以下代码实现在　

调用ＳＱＬ语句时使用Ｐａｒａｍｅｔｅｒｓ集合：　

ｓｔｒｓｑｌ＝”ｓｅｌｅｃｔ　ｆｒｏｍ　ｕｓｅｒ　ｗｈｅｒｅ　ｎａｍｅ＝＠ｔｌ　

ａｎｄ　ｐａｓｓｗｏｒｄ＝＠ｔ２”；　

Ｍｙｃｏｍｍａｎｄ．Ｐａｒａｍｅｔｅｒｓ．Ａｄｄ（”＠ｔｌ”，ＯｌｅＤｂＴｙｐｅ．　

Ｃｈａｒ）．Ｖａｌｕｅ＝ＴｅｘｔＢｏｘ１．Ｔｅｘｔ；　

Ｍｙｃｏｍｍａｎｄ．Ｐａｒａｍｅｔｅｒｓ．Ａｄｄ（”＠ｔ２”，ＯｌｅＤｂＴｙｐｃ．　

Ｃｈａｒ）．Ｖａｌｕｅ＝ＴｅｘｔＢｏｘ２．Ｔｅｘｔ；　

３．４　ＡＳＰ．ＮＥＴ中恶意脚本的消除　

为有效地防止用户恶意脚本的输入，一是严格　

地对用户的输入进行验证屏蔽掉“＜”或“＞”等危　

险字符；二是将用户输人的“＜”或“＞”等恶意字符　

进行删除；三是通过Ｓｅｒｖｅｒ．ＨｔｍｌＥｎｃｏｄｅ（）方法对用　

户输入的内容进行编码转换，从而使浏览器不会执　

行含有“＜ＳＣＲＩＰＴ＞”标记的脚本代码。　

针对ＡＳＰ．ＮＥＴ＋Ａｃｃｅｓｓ技术建站方案中容易　

出现的安全性问题进行了剖析，并提出了相应的解　

决对策，在实际开发网站的过程中具有较强指导作　

用，同时对于加强网络安全性也具有重要的意义。　

参考文献：　

［１］崔永红．ＡＳＰ．ＮＥＴ程序设计［Ｍ］．北京：中国铁道出版　

社，２００７：１８—２７．　

［２］翁健红．ＡＳＰ．ＮＥＴ程序设计案例教程［Ｍ］．北京：清华　

大学出版社，２００１：９—１１．　

［３］　戴明星，陈正奎．ｗｅｂ网站的安全代码设计［Ｊ］．学术研　

究，２０１０（１０）：９２・９４．　

［４］李杨．网站安全漏洞解析［Ｊ］．四川兵工学报２０１２，３３　

（１）９７－９９．