2024年6月21日发(作者：)

维普资讯

第２２卷第１期　绍兴文理学院学报　

Ｖ　２２　Ｎｏ，１　

２００２年３月　

】０ＵＲＮ虬ＯＦ　ＳＨＡＯＸＩＮＧ　ＵＮＩＶＥＲＳｌＴＹ　

Ｍａｒ．２００２　

基于ＡＳＰ技术的Ａｃｃｅｓｓ数据库安全隐患及其对策　

吴　萱　

（绍兴文理学院图书馆，浙江绍兴３１２ｏ０ｏ）　

摘要：针对当前广疰使用的ＡＳｐ和Ａｃｃ曲　数据库相结合的技术，提出了采用此技术的几个常见的安全问题，并指出需要　

采用的一些安全措施　

关建词：ＳＡＰ；Ａｃｃｅ轴；数据库；安全　

中国分类号：２Ｙ３０９　２　文献标识码：Ｂ　文章编号：１００８—２９３Ｘ（２００２）０１—００５０—０３　

随着￣ｔｅｍｅｔ的发展，ｗｅｂ技术日新月异．继通用网关接口（ｃｃｉ）之后，ＡＳＰ（Ａｃｔｉｖｅ　Ｓｅｒｖｅｒ　Ｐａｇｅｓ）作为一　

种典型的服务器端网页设计技术，被广泛地应用在网上银行、电子商务、搜索引擎等各种互联网应用中．同　

时Ａｃｃ　ｓ数据库作为微软推出的以标准ＪＥＴ为引攀的桌面型数据库系统，其有操作简单、界面友好等特　

点，具有较大的用户群体．因此ＡＳＰ和Ａｃｃｅｓｓ相结合成为许多中小型网上应用系统的首选方案．但ＡＳＰ和　

Ａｅｃｅｓ８解决方案在为我们带来便捷的同时，也带来了不容忽视的安全问题．　

１　ＡｓＰ和Ａｃｃｅｓｓ的安全隐患　

ＡＳＰ＋Ａｃｃｅｓｓ解决方案的主要安全臆患来自Ａｃｃｅｓｓ数据库的安全性，其次在于ＡＳＰ网页设计过程中的　

安全漏洞．　

１．１　Ａｃｃｅｓｓ数据库的存储隐患　

在ＡＳＰ和Ａｃｃｅｓｓ应用系统中，如果获得或者猜到Ａｃｃｅｓｓ数据库的存储路径和数据库名，则该数据库　

就可以被下载到本地．例如：对于网上书店的Ａｃｃｅｓｓ数据库，人们一般命名为ｂｏｏｋ　ｍｄｂ、ｓｌｏｒｅ．ｍｄｂ等　Ｊ，而　

存储的路径一般为“ＵＲＬ／ｄａｔａｂａｓｅ　或干脆放在根目录（“ＵＲＬ／”）下．这样，只要在浏览器地址栏中键人地　

址：“ＵＲＬ／ｄａｔａｈａｓｅ／ｓｍｒｅ　ｍｄｂ”，就可以轻易地把ｂｏｏｋ，ｍｄｂ、ｓｔｏｒｅ．ｍｄｂ下载到本地的机器中．　

１．２　Ａｃｃｅｓｓ数据库的解密隐患　

由于Ａｃｃｅｓｓ数据库的加密机制非常简单，所以即使数据库设置了密码，解密也很容易．该数据库系统　

通过将用户输入的密码与某一固定密钥进行异或形成一个加密串，并将其存储在★．ｍｄｂ文件中从地址　

“＆Ｈ４２”开始的区域内．因为异或操作的特点是“经过两次异或就恢复原值”　】，因此，用这一密钥与＊．ｍｄｂ　

文件中的加密串进行第二次异或操作，就可以轻松地得到Ａｃｃｅｓｓ数据库的密码．基于这种原理，可以很容　

易地编制出解密程序由此可见，无论是否设置了数据库密码，只要数据库被下载，其信息就投有任何安全　

性可言了．　

１．３源代码的安全隐患　

由于ＡＳＰ程序采用的是非编译性语言，这大大降低了程序源代码的安全性．任何人只要进人站点，就　

可以获得源代码，从而造成ＡＳＰ应用程序源代码的泄露．　

１．４程序设计中的安全隐患　

ＡＳＰ码利用表单（ｆｏｒｍ）实现与用户交互的功能，而相应的内容会反映在浏览器的地址栏中，如果不采　

用适当的安全措施，只要记下这些内容，就可以绕过验证直接进入某一页面．例如在浏览器中键人“……　

ｐａｇｅ．ａｓｐ？ｘ＝ｌ　，即可不经过表单页面直接进人满足“ｘ＝ｌ”条件的页面．因此，在设计验证或注册页面时，　

必须采取特殊措施来避免此类问题的发生，以提高数据库的安全性．　

・

收稿日期：２００２—０１—０８　

作者简介：吴萱（１９１５一）．女，湖北钟祥人，助理馆员，从事网络管理研究　

维普资讯

第１期　吴黄：基于ＡＳＰ技术的Ａｃｃｅｓｓ数据库安垒隐患及其对策　５１　

由于Ａｃｃｅｓｓ数据库加密机制过于简单，因此，如何有效地防止Ａｃｃｅ￣数据库被下载，就成了提高ＡＳＰ　

和Ａｃｃｅｓｓ解决方案安全性的重中之重．　

２．ＡＳＰ和Ａｃｃｅｓｓ的安全对策　

２．１非常规命名法　

防止数据库被找到的简便方法是为Ａｃｃｅｓｓ数据库文件起一个复杂的非常规名字，并把它存放在多层　

目录下．例如，对于网上书店的数据库文件，不要简单地命名为“ｂｏｏｋ．ｍｄｂ”或“ｓｔｏｒｅ．ｍｄｂ”，而是要以非常规　

的名字命名，例如：ｆａｑｌｇｊｈｓｖ，ｄｏａ１．ｍｄｂ，再把它放在如．／￣ｋｊｊ１６ｔ／ｋｊｈｇｂ６６１／ａｃｄ／ａｖｃｅｘ５５之类的深层目录下．这　

样，对于一些通过猜的方式得到Ａｃｃｅｓｓ数据库文件名的非法访问方法起到了有效的阻止作用．　

２．２使用ＯＤＢＣ数据源　

在ＡＳＰ程序设计中，应尽量使用ＯＤＢＣ数据源，不要把数据库名直接写在程序中，否则，数据库名将随　

ＡＳＰ源代码的失密而一同失密．例如：　

ＤＢＰａｔｈ＝Ｓｅｒｖｅｒ．ＭａｐＰａｔｈ（“．／￣ｋｊｊ１６ｔ／ｋｊｈｇｂ６６１／ａｅｄ／ａｖｅｅｘ５５／ｆａｑ１９ｊｈｓｖｚｂａ１．ｍｄｂ”）　

ｃｏｎｌ１．Ｏｐｅｎ“ｄｒｉｖｅｒ＝｛Ｍｉｃｒｏｓｏｆｔ　Ａｃｃｅｓｓ　Ｄｒｉｖｅｒ（★．ｍｄｂ）｝；ｄｂｑ＝”＆ＤＢＰａｔｈ　

可见，即使数据库名字起得再怪异，隐藏的目录再深，ＡＳＰ源代码失密后，数据库也很容易被下载下　

来．如果使用ＯＤＢＣ数据源，就不会存在这样的问题了，如：　

ｃ。ｎｎ．ｏｐｅｎ“ＯＤＢＣ—ＤＳＮ名”　

２．３对ＡＳＰ页面进行加密　

为有效地防止ＡＳＰ源代码泄露，可以对ＡＳＰ页面进行加密．一般有两种方法对ＡＳＰ页面进行加密．一　

种是使用组件技术将编程逻辑封装入ＤＬＬ之中；另一种是使用微软的Ｓｃｒｉｐｔ　Ｅｎｃｏｄｅｒ对ＡＳＰ页面进行加　

密．笔者认为，使用组件技术存在的主要问题是每段代码均需组件化，操作比较烦琐，工作量较大；而使用　

ｓ商Ｄｔ　Ｅｎｅｏｄｅｒ对ＡＳＰ页面进行加密，操作简单、收效良好．　

ｃｒＳｉｐｔ　Ｅｎｅｏｄｅｒ方法具有许多优点：　

（１）ＨＴＭＬ仍具有很好的可编辑性．Ｓｃｒｉｐｔ　Ｅｎｃｏｄｅｒ只加密在ＨＴＭＬ页面中嵌入的ＡＳＰ代码，其他部分仍　

保持不变，这就使得我们仍然可以使用ＦｒｏｎｔＰａｇｅ或Ｄｒｅａｍｗｅａｖｅｒ等常用网页编辑工具对ＨＴＭＬ部分进行修　

改、完善，只是不能对ＡＳＰ加密部分进行修改，否则将导致文件失效．　

（２）操作简单．只要掌握几个命令行参数即可．Ｓｃｒｉｐｔ　Ｅｎｃｏｄｅｒ的运行程序是　ｒｅｎｃ．ｅｘｅ，其使用方法如　

下：　

ｓｅｒｅｎｅ［／ｓ］［／ｆ］［／ｘ］］［／Ｉ　ｃｌｅｆＬａｎｇｕａｇｅ］［／ｅ　ｄｅｆＥｘｔｅ￣ｓｉｏｎ］ｉｎｐｕｆｆｉｌｅ　ｏｕｔｐｕｔｉｆｌｅ其中的参数含义如　

下：　

ｓ：屏蔽屏幕输出；　

ｆ：指定输出文件是否覆盖同名输入文件；　

ｘｌ：是否在．ａｓｐ文件的顶部添加＠Ｌａｎｇｕａｇｅ指令；　

ｌ：ｄｅｆＬａｎｇｕａｇ指定缺省的脚本语言；　

ｅ：ｄｅｆＥｘｔｅｎｓｉ。ｎ指定待加密文件的扩展名．　

（３）可以批量加密文件．使用Ｓｃｒｉｐｔ　Ｅｎｃｏｄｅｒ可以对当前日录中的所有的ＡＳＰ文件进行加密，并把加密　

后的文件统一输出到相应的目录中．例如：　

ｓｃｒｅｎｃ★

．

ａｓｐ　Ｃ：、ｔｅｍｐ　

（４）Ｓｃｒｉｐｔ　Ｅｎｃｏｄｅｒ是免费软件．该加密软件可以从微软网站下载：　

ｈｔｔｐ：／／ｍｓｄｎ．ｍｉｃｒｏ８ｏｆｔ．ｃｏｒｎ／ｓｃｒｉｐｔｉｎｇ／ｖｂｓｃｒｉｐｔ／ｄｏｗｎｄｏａｄ／ｘ８６／ｓｅｅｌ０ｅｎ．ｅｘｅ．下载后，运行安装即可．　

（５）利用Ｓｅｓｓｉｏｎ对象进行注册验证　

为防止未经注册的用户绕过注册界面直接进入应用系统，可以采用Ｓｅｓｓｉｏｎ对象进行注册验证．Ｓｅｓｓｉｏｎ　

对象最大的优点是可以把某用户的信息保留下来，让后续的网页读取．例如，要设计注册页面．设计要求用　

户注册成功后系统启动ｈｒｌｌｌｆＪ８．ａｓｐ？ｐｓ．ｇＯ＝１页面．如果不采用Ｓｅｓｓｉｏｎ对象进行注册验证，则用户在浏览器　

维普资讯

５２　绍兴文理学院学报（自然科学版）　堕丝鲞　

中键人“ＵＲＬ／ｈｒｍｉ８．∞ｐ？ｐ　ｇｅ：１’’即可绕过注册界面，直接进入系统　．利用Ｓｅｓ８ｉ。ｎ对象可以有效阻止这　

一

情况的发生．相关的程序代码如下：　

＜％’　

读取用户输入的账号和密码　

Ｕｓｅｒｉｄ＝Ｒｅｑｕｅｓｔ（“Ｕｓｅｒ］Ｘ）”）　

Ｐａｓｓｗｏｒｄ＝Ｒｅｑｕｅｓｔ（“Ｐａｓｓｗｏｒｄ”）　

，检查Ｕ　皿及　ｏＩｄ是否正确（实际程序可能会比较复杂）　

ⅡＵ日ｅｒＩＤ＜＞“ｈｒｍｉｓ”Ｏｒ　Ｐａｓｓｗｏｒｄ＜＞　

“

ｏａｓｓｗｏｒｄ”３１￣ｅｎ　

Ｒｅｓ邮ｅ．Ｗｒｉｔｅ“账号错误！，，　

Ｒｅｓｐｏｎｓｅ．Ｅｎｄ　

ＥｎｄⅡ　

’将Ｓｅｓｓｉｏｎ对象设置为通过验证状态　

Ｓｅｓｓｉｏｎ（“Ｐａｓｓｅｄ”）＝Ｔｒｕｅ　

％＞　

进入应用程序后，首先进行验证：　

＜％　

’如果未通过验证，返回Ｌ　ｎ状态　

ⅡＮｏｔ　Ｓｅｓ日ｉｏｎ（“Ｐａｓｓｅｄ”）３１￣ｅｎ　

Ｒｅｓｐｏｎｓｅ　Ｒｅｄｉｒｅｃｔ“Ｌ　ｎ．ａｓｐ”　

ＥｎｄⅡ　

％＞　

参考文献：　

１宋杰．基于ＡＳＰ的网站的几个安全问题厦其对策［Ｊ］．安徽大学学报（自然科学版），２００１，２５（１）：２２—２４　

２徐敏，文远．Ａｃｃｅｓｓ　２０００即学即用［Ｍ］．北京：科学出版社，１９９９．３２０—３２２・　

３孙丽萍．昊红普．ＡＳＰ编程基础厦应用卖例［Ｍ］．北京：人民邮电出版社，２００１・８５—８６・　

４丁贵广，郭宝龙．ＡＳＰ动态网站建站实例与技巧［Ｍ］．西安：西安电子科技大学出版社，２００１・１６１—１６９・　

Ｓｅｃｕｒｉｔｖ　Ｐｒｏｂｌｅｍｓ　ｏｆ　Ａｃｃｅｓｓ　Ｄａｔａｂａｓｅ　Ｂａｓｅｄ　

ｏｎ　ＡＳＰ　Ｔｅｃｈｎｉｑｕｅ　ａｎｄ　Ｔｈｅｉｒ　Ｓｏｌｕｔｉｏｎ　

Ｗｕ　Ｘｕａｎ　

（Ｌｉｂｒａｒｙ　ｎｆ　Ｓｈａｏｘｌｎｇ　Ｕｎｉｖｅｒｓｉｔｙ，Ｓｈａｏｘｌｎｇ，Ｚｈｅｊｉａｎｇ，３１２０００）　

Ａ　ａｃｔ：Ｔｈｅ　ｃｏｎｌｈｉｎｅｄ　ｔｅｃｈｎｉｑｕｅ　ｏｆ　ＡＳＰ　ａｎｄ　Ａｃｃｅｓｓ　ｄａｔａｂａｓｅ　ｉｓ　ｗｉｄｅｌｙ　ｕｓｅｄ　ｉｎ　ｅ—ｂｕｓｉｎｅｓ日Ｔｈｅ　ｐａｐｅｒ　ｐｏｉｎｔｓ。ｕｔ　

ｓｅ　ｍｌ　ｓｅｃｕ　ｔｙ　ｐＩｏｂｌｅｆｎｓ　ａｎｄ垂ｖｅｓ　ｌｈｅ　ｓｏｌｕｔｉｏｎ　ｔ。ｔｈｅｍ．Ａｎｄ　ｉｔ　ａ１日。ｓ。ｍｅ　８ｕｇｇｅ日ｔｉ。Ｉ１ｓ　ｏｎ　ｔｈｅ　ｓｅｃｕ　ｔｙ　ｏｆ　ＷＷＷ　ｂ。　。　

ｔｉｏｎ．　

Ｋｅｙ　ｗｏｒｄｓ：ＡＳＰ；Ａｃｃｅｓｓ；ｄａｔａｂａｓｅ；ｓｅｃｕｒｉｔｙ