关于同一数据库文件的.asp和.mdb区别

piaopiao2010 楼主

我在好多这样的源代码中发现mdb的数据库

都改成.asp 文件

我虽然能改过来,从而发现我要的东西,但有点我不是太理解

那就是.asp的数据库文件  它还能存储数据吗,为什么?

hanguofeng

没有区别，仅为了防止文件被恶意下载。

由于Access数据库数据文件是以实体文件的形式存在在服务器上的，并且在大多数情况下和站点在同一文件夹下，这样一旦入侵者通过“暴库”等方式(后面会提到)得知站点数据库的地址，而数据库文件又没有做相应处理，则数据库文件可能被入侵者下载，导致站点系统管理密码等敏感信息被盗取。
对于防止数据库文件被恶意下载，有如下建议：
在数据库中加入一个单独的表，为此表建立一个OLE对象类型的字段，并将一个含有错误asp语句(如：<%respse.write("")%>)的文件插入此表中，并将数据库文件的扩展名修改为ASP，这样，由于数据库中防止下载的表中的信息被当作ASP代码处理，而此代码又存在错误，则服务器会提示错误而不会将数据库文件传送给浏览器。

liaoyizhi520

只是相对安全``其实知道路径的话，用下载软件（如迅雷登）同样能下载下来``

个人感觉将数据库放在站点根目录之外，用绝对路径连接比较好``

现在很多的服务器都支持吧`

legend2

只是一个不能被下载，而另一个可以被下载~

m173

如果知道ＡＳＰ的路径的话...ASP的会更危险.........
目前３楼的方法比校安全吧！

hanguofeng

我是搞安全的，对楼上的一些问题做一个总结性问题

插入特殊ASP代码的asp扩展名的mdb文件是不能够被下载的，原因是其ASCII码文件中包含了不正确的ASP代码，在服务器上asp.dll文件尝试解析时出现错误，会返回HTTP500而不会返回数据库文件的文本内容。

5楼m173提出的更危险，其含义是如果通过插入含有asp代码的数据记录，则此代码可能在访问扩展名为asp的数据库文件时被解析，不过假如我们的文件中本身有不能正常解析的asp代码，则那些插入的危险代码不会被执行。

ltroy

..没有扩展名不是更好 ...哈哈..狂想中..

HotHeart

没有扩展名IIS就会像对待普通文件一样而可以下载了……

塞北的雪

不放在webroot里

piaopiao2010 楼主

真是收益非浅,感谢各位~~

我现在也只是理解 改成.asp文件还是可以存储数据的~~

对于你们说的改进方法,我在试试然后回来再交流呵呵~~